Puma sotto attacco, c’è la conferma: pochi giorni fa, sul portale della gang cyber criminale Marketo è stata aggiornata la sezione che menziona le organizzazioni sotto estorsione ed una delle icone più note degli ultimi 70 anni nel settore degli abbinamenti sportivi ha fatto la sua comparsa. La tedesca Puma, appunto, multinazionale con più di 14mila dipendenti ed uno dei brand più noti in assoluto in tutto il mondo.
Indice degli argomenti
L’attacco a Puma con data breach
Infatti, il sito puma.com ha fatto capolino insieme ad altri otto nomi a dominio di grandi aziende internazionali preceduto da un lapidario “Attacking”, elemento che, in base ai modus operandi di Marketo, suggerisce che ci siano operazioni cyber criminali e tentativi di attacco all’icona tedesca dello sportswear.
Figura. Portale Marketo riporta puma.com sotto attacco
I dati Puma su Marketo
Il riferimento non è affatto casuale, sul portale di Marketo è poi apparsa una pagina ad hoc con in gran mostra l’inconfondibile logo del felino più noto tra gli sportivi di tutto il mondo. Marketo dichiara di essere in possesso di circa 1 GB di dati trafugati dall’azienda, ora messi all’asta al miglior offerente. Benché non ci sia alcuna conferma sulla validità dei dati, in pochissimo hanno tempo destato l’interesse di oltre 154 acquirenti criminali in trattativa riservata VIP.
Figura. Annuncio di vendita dati di PUMA
Cos’è Marketo, extortion senza ransomware
Da non confondere con l’omonimo software di marketing, “Marketo” è una gang criminale che ha fatto le sue prime apparizioni nel deep web intorno ad aprile 2021 e da subito si è distinta per un approccio diverso da quello delle gang criminali specializzate in attacchi ransomware a doppia estorsione (Double Extortion). Marketo si è focalizzata sull’estorsione e la vendita di dati rubati alle aziende, apparentemente tralasciando la componente ransomware dell’attacco.
Il gruppo criminale ha configurato un modello ibrido che da vede forme di estorsione basate sulla minaccia di pubblicazione dei dati rubati finalizzate all’ottenimento di un riscatto, unito però con un meccanismo di acquisto in asta aperto a tutti i potenziali acquirenti interessati ai dati trafugati. Anche se in base a quanto dichiarano non operano direttamente nel settore degli attacchi ransomware, non è raro che dati trafugati da gang di attacco a doppia estorsione finiscano all’interno del circuito di Marketo.
I criminali informatici dietro a Marketo si posizionano infatti come operatori di un “mercato dei dati rubati”. Tuttavia, non operano propriamente come un mero intermediario, di frequente mettono in pratica forme di pressione diretta sulle aziende vittima. Sono stati infatti registrati casi in cui gli operatori di Marketo hanno persino inviato campioni dei dati compromessi ad aziende concorrenti, ai clienti ed ai partner delle loro vittime. È inoltre interessante notare che il portale di Marketo include una sezione “Attacco” che nomina le organizzazioni che stanno per essere in qualche modo attaccate, o che sono sotto estorsione.
All’interno dei singoli post, Marketo fornisce una descrizione dell’organizzazione indicando quali dati sono – secondo le loro dichiarazioni – stati compromessi, solitamente includendo anche un piccolo campione di file e documenti per provare il possesso dei dati.
Con i dati rubati, Marketo organizza poi delle sorte di aste senza incanto in cui i compratori fanno offerte in base a ciò che ritengono valgano per loro i dati, scelta singolare ma comunque scaltra in quanto non è raro che Marketo invii comunicazioni anche ai competitor delle aziende vittima.
Il file campione di Puma su Marketo
I file campione pubblicati dalla gang criminale di Marketo non sono affatto privi di sorprese. Per lo più si tratta di codici sorgenti di applicativi gestionali interni potenzialmente legati al Product Management Portal della azienda. Materiale che se comunque in mano ad hacker malintenzionati può facilitare intrusioni ed attacchi diretti alle infrastrutture del gruppo.
Figura. Intestazione dei codici sorgenti campione trafugati
I file sorgenti campione riportano intestazioni di copyright che attestano la proprietà dei codici al gruppo tedesco. Tuttavia, alcuni dei file di progetto riportano riferimenti ad indirizzi email attestati sul dominio “pl.sii.eu” registrato a “Sii”, multinazionale polacca specializzata in progetti di digitalizzazione, sviluppo ed ingegneria del software.
La particolare email emersa nei dati appare in una locazione singolare: va infatti a valorizzare un campo nome utente utilizzato per la connessione ad un repository di codice Git remoto di PUMA. Questo elemento è estremamente significativo perché indica che il lotto di dati può essere stato prelevato da un server, una workstation, o addirittura un laptop dove il particolare indirizzo email è stato inserito nelle configurazioni statiche di progetto. Ciò potrebbe implicare che l’infrastruttura da dove sono stati trafugati i dati di PUMA possa essere in realtà riconducibile ad un fornitore esterno, un’azienda terza che ha – o che ha di recente avuto – partnership dirette con il gruppo, proprio come la polacca “Sii”.
Figura. Stralcio di configurazioni statiche di progetto nei dati campione
Non è affatto da escludere quindi che il presunto attacco a PUMA possa essere in realtà diretta conseguenza di una violazione di sicurezza in un fornitore di servizio, una terza parte che costantemente, ogni giorno, maneggia dati aziendali proprietari. Tra l’altro, in questo particolare caso il fornitore potenzialmente coinvolto presenta una serie di coincidenze degne di nota: dei clienti che annovera tra i suoi testimonial ce ne sono almeno altri due che hanno di recente subito attacchi ransomware a doppia estorsione: il colosso tedesco Thyssenkrupp e Bombardier, costruttore di aeromobili con contratti anche con l’U.S. Air Force.
Figura. Partner pubblicati sul sito ufficiale di Sii
