Nella giornata di ieri, lunedì 8 novembre 2021, abbiamo assistito all’ennesima rivendicazione da parte del gruppo ransomware Conti di un attacco contro la grande realtà italiana nella fornitura di luce e gas: Argos Connect Energy (Argos SpA).
Dire che il ransomware torna ad attaccare realtà italiane, sarebbe però decisamente inesatto. Questo 2021 è stato prolifico e ricco di attività dal punto di vista dei criminali a capo delle bande ransomware, tanto che la nostrana Swascan ha aggiudicato per l’Italia un quinto posto per numero di aziende vittime di questa tipologia di attacco, nel suo report della prima metà dell’anno.
Si può quindi correttamente dire che il ransomware dal nostro Paese non è mai andato via e a cadenza (almeno) settimanale, ci troviamo a parlarne.
Indice degli argomenti
L’attacco ransomware a Argos SpA
Premettendo che per il momento l’azienda non ha ancora diffuso alcun comunicato ufficiale sull’accaduto, proviamo ad analizzare cosa è successo con una piccola indagine sui fatti disponibili.
Il gruppo ransomware Conti ha diffuso la notizia (come è solito fare) sul proprio sito ospitato dietro rete Tor per garantire loro un certo grado di anonimato, dei dati catturati alla nuova vittima italiana Argos SpA, nella mattinata di lunedì.
La notizia appare come nell’immagine sottostante.
Come si può vedere nelle ultime righe del post, il gruppo criminale è solito esporre un “sample” (un esempio) a riprova dell’effettiva esecuzione dell’attacco che stanno rivendicando.
A volte il sample reso disponibile è cospicuo e offre già la comprensione della dimensione del furto. In questo caso è abbastanza limitato (131 MB), ma è pur sempre solo un sample, che a detta del gruppo Conti, corrisponderebbe all’1% della totalità dei dati in loro possesso.
Quali dati sono stati trafugati
Abbiamo quindi indagato meglio sull’accaduto, analizzando il contenuto del sample condiviso dal gruppo Conti, per poter riferire cosa è stato rubato e cosa diffonde questo archivio trapelato online (gratuitamente).
Da una prima analisi il furto sembra tutt’altro che limitato. Sono presenti infatti vari archivi di quelle che sembrano esportazioni di un gestionale interno, con numerosi file .xml all’interno (la figura riporta 680 file solo in questa cartella, che è un sample). I file espongono nomi (o ragioni sociali), partite iva, codici fiscali, indirizzi, numeri di telefono e email di clienti, nonché la tipologia di servizio fornita.
Se, quindi, è reale quanto dichiarato dal gruppo Conti, cioè che si tratta dell’1% dei dati esfiltrati, la dimensione della perdita non è poi così limitata, soprattutto perché contiene i dati dei clienti.
Per completezza, il sample espone anche una piccola parte di preventivi di acquisti della società sui propri fornitori, esponendone quindi anche stavolta, tutti i dati relativi a template aziendale utilizzato per la stesura dei documenti di comunicazione interna, partita iva e codice fiscale dei fornitori interessati.
Conseguenze del ransomware a Argos SpA
A cosa serve conoscere la natura di questo attacco? Serve a rendere consapevoli tutti noi lettori e le possibili vittime indirette (in quanto esposti indirettamente dalla vittima principale), per il prossimo periodo anche non troppo lontano.
Quello che succede adesso è, infatti, la realizzazione di altre truffe collegate a questo massiccio data breach, che saranno mirate e prenderanno come obiettivo principale i clienti di Argos SpA. Il numero elevato di contatti e dettagli utente, infatti, consente la realizzazione di campagne di phishing, che possono anche a loro volta veicolare altre tipologie di malware, oppure semplicemente contribuire all’esfiltrazione di ulteriori dati che completeranno la ricchezza di informazioni dei criminali (password, nomi utente ecc.).
Cosa impariamo dal nuovo attacco ransomware
Non abbiamo certezza di cosa potrà succedere ai reali responsabili dietro questa operazione. Però possiamo dire con certezza che anche in Italia le denunce per frodi di questo tipo stanno aumentando e quindi anche le tecniche di indagine si stanno di volta in volta sempre più affinando.
Proprio nella giornata di lunedì l’Europol ha dato notizia della riuscita di una grossa operazione (avvenuta lo scorso 4 novembre 2021) di indagine che ha portato all’arresto di vari responsabili dietro il gruppo ransomware REvil, inattivo da settembre 2021, ma con alle spalle più di 7.000 infezioni e richieste di riscatto per un totale di circa 200 milioni di euro. Cinque dei responsabili del gruppo criminale sono stati arrestati.
È molto importante, dunque ribadire, come consigliato da tutte le autorità, di non pagare mai il riscatto, in quanto questo non garantirebbe l’effettiva liberazione dei file e neppure il fatto di inibirne la diffusione online.
È invece sicuro che contribuirebbe ad alimentare le casse delle bande criminali che stanno dietro agli attacchi, che con i soldi dei riscatti farebbero altro che finanziare altre operazioni: ricordiamo che questo genere di attacchi, spesso, non sono semplici da portare a termine e comportano spese per i criminali in fatto di tempo ed energie impiegate per colpire l’obiettivo.
