Le filiali di MediaWorld in Italia stanno segnalando in queste ore l’interruzione di servizi e rallentamenti del sistema IT: l’origine di tutto è l’attacco del gruppo ransomware Hive che ha bloccato le infrastrutture di MediaMarkt chiedendo un riscatto di 240 milioni di dollari (anche se conferme successive parlano in realtà di 50 milioni) per consentire alla società di recuperare i dati di oltre tremila server dislocati in vari Paesi. E le conseguenze si stanno ora ripercuotendo sulle infrastrutture IT di tutti i negozi collegati.
#MediaMarkt / #Saturn gerade scheinbar in ganz DE und NL von #Ransomware betroffen.
Alle Kassen still, nichts läuft, sieht nicht gut aus pic.twitter.com/OR4stCaTT6— Hozan Murad ☀️ (@HozanMurad) November 8, 2021
Aggiornamento. Nella giornata del primo dicembre 2021, il gruppo ransomware Hive ha rivendicato l’attacco sul proprio sito, facendo comparire l’annuncio del furto dei dati: al momento non c’è l’indicazione sull’ammontare di un eventuale riscatto, non ci sono file pubblicati, ma compare l’attribuzione dell’attacco e sarà dunque necessario monitorare la situazione perché tutto può evolvere in qualsiasi momento.
“Conosciamo l’incidente al colosso MediaMarkt attraverso i non pochi disagi causati agli store di Olanda e Germania: il colosso dell’elettronica di consumo ha subito un attacco che ha creato danni localizzati nei due paesi europei e non sembra, dalle evidenze attuali, abbia creato danni in Italia (con MediaWorld, appunto), se non in maniera circoscritta: le ripercussioni registrate nel nostro Paese, infatti, sono dovute ai legami con la “casa madre” di determinati gestionali che dipendono da collegamenti internazionali”, ci dice Dario Fadda, Research Infosec, fondatore Insicurezzadigitale.com.
“Questo attacco”, continua Fadda, “ci fa pensare quanto i gruppi che stanno dietro attacchi di questa portata siano fini nelle loro tecniche e quanto parlino tra loro. Hive è un gruppo relativamente giovane, nasce a giugno 2021, ma riesce a mettere in crisi un colosso multinazionale come MediaMarkt. Questo ci deve far pensare quanta “esperienza” criminale ci sia dietro e quanto venga divulgata tra gruppi con elevata storicità. Imprenditori, amministratori, magazzinieri e commessi devono essere educati a una buona igiene digitale, proprio per scongiurare attacchi come questo. Spesso frutto anche semplicemente dell’apertura di un documento PDF sbagliato”.
Indice degli argomenti
MediaWorld, cosa sappiamo dell’attacco ransomware
La piattaforma olandese RTL Nieuws è stata la prima a dare la notizia dell’attacco ransomware al gruppo MediaMarkt che sarebbe partito tra il 7 e l’8 novembre. I punti vendita del colosso di elettronica, compresi quelli italiani, hanno ammesso di avere terminali fuori uso da quattro giorni, quindi con notevoli disagi in previsione dell’atteso Black Friday del prossimo 26 novembre, il giorno dell’anno più importante per le vendite nelle catene di elettronica consumer. A Milano un punto vendita di MediaWorld ha chiesto più volte ai clienti di avere pazienza.
La ransomware gang Hive sarebbe in trattative con MediaMarkt, un colosso con 58mila dipendenti e che totalizza 20,8 miliardi di dollari di fatturato a livello globale. I negoziati sarebbero in corso per ricevere il pagamento del riscatto, prima di procedere alla pubblicazione delle informazioni esfiltrate.
L’eCommerce del gruppo continua a funzionare: il ransomware avrebbe infatti bloccato la funzionalità dei registratori di cassa nei punti vendita fisici impossibilitati ad accettare i pagamenti con carta di credito. Secondo alcune indiscrezioni, i registratori di cassa sarebbero stati quindi disconnessi per evitare danni ulteriori.
Queste prime informazioni, secondo Pierluigi Paganini, analista di cyber security e CEO Cybhorus, confermano che “l’attacco ransomware all’azienda MediaMarkt è simile a molti altri osservati nei recenti mesi. Ancora una volta un noto gruppo ransomware è riuscito a fare breccia nelle reti di un colosso distruggendone l’operatività. A far rumore, in questo caso specifico, l’importo del riscatto che circola in rete in queste ore, che si ipotizza essere di 240 milioni di euro. La cifra è sbalorditiva, ma è commisurata al fatturato dell’azienda colpita e dalla volontà del gruppo di intavolare una negoziazione che possa poi portare ad una cifra sicuramente ragionevole e conveniente per la vittima”.
“In questo momento”, fa notare ancora Paganini, “sul leak site del gruppo a cui si attribuisce l’attacco, la ransomware gang Hive, non è stata data notizia dell’attacco. La possibile assenza del nome dell’aziende nell’elenco delle vittime potrebbe essere causata da due scenari:
- l’azienda potrebbe aver intavolato una trattativa con il gruppo criminale;
- il gruppo, per motivi vari, potrebbe non esser riuscito ad esfiltrare dati e quindi a porre MediaMarkt sotto ricatto secondo in consolidato schema di doppia estorsione”.
Infine, sottolinea ancora l’analista, “l’incidente non deve trarre in inganno i lettori. Questi gruppi criminali non si stanno focalizzando su obiettivi di grandi dimensioni. Operano per opportunità, quindi individuata una falla o un punto di accesso in una rete la penetrano per poi cercare di comprometterne dati e macchine. Questo processo è spesso semi-automatizzato e i criminali operano con una tecnica “a strascico” colpendo il maggior numero di aziende per poi valutare di caso in caso il riscatto da chiedere in base alle eventuali informazioni rubate e al danno operativo cagionato alla vittima”.
Attacchi ransomware in aumento
I ransomware sono virus informatici che rendono inaccessibili i file dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli. Le attività riconducibili al crimine informatico che usano ransomware hanno una matrice finanziaria.
Fastweb ha registrato un incremento del ransomware del 350% rispetto allo stesso periodo dell’anno scorso, con “conseguenze sempre più aggressive ed evidenti”.
Da un recente report targato Check Point Research emerge che, a livello internazionale nel 2021, in media un’azienda su 61 subisce, una volta a settimana, attacchi ransomware, con una crescita del 9% rispetto al 2020.
Recenti attacchi ransomware in Italia
Poche settimane fa un attacco ransomware aveva colpito l’azienda di patatine San Carlo: in quel caso, a colpire era stata la gang Conti che aveva pubblicato un elenco di file (circa 59MB) per dimostrare l’avvenuta intrusione. Senza dimenticare che in precedenza, tra i casi più eclatanti, un ransomware aveva bloccato anche la Regione Lazio.
