Campari Group ha subito a novembre un attacco ransomware, con la tecnica del doppio-riscatto, sempre più frequente in quest’ultimo anno: due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari.
Con il riscatto i criminali – il gruppo Ragnar Locker – darebbero anche un decryptor e consigli di sicurezza. Lo stesso gruppo Ragnar Locker, con tecnica simile, ha colpito Capcom la scorsa settimana, con minaccia di pubblicazione o vendita all’asta dei dati.
Aggiornamento alla notizia originariamente pubblicata il 9 novembre: il 4 dicembre Campari ha aggiunto dettagli sull’attacco subito, utenti coinvolti e dati rubati.
Indice degli argomenti
Cosa sappiamo dell’attacco ransomware di Campari
Campari già a novembre ha riconosciuto la possibilità di perdita di dati personali a seguito dell’attacco e certo continua a subire, dai primi di novembre, conseguenti disservizi sulla rete.
I criminali affermano di avere in mano documenti fiscali, proprietà intellettuali, dati personali di clienti e dipendenti, inclusi quelli di identità. Documenti con accordi e contratti aziendali eccetera.
Ad avere comunicato l’avvenuto è Bleeping Computer.
Utenti coinvolti
Campari ha comunicato il 4 dicembre che sono stati sottratti dati di 4.736 dipendenti, 1.443 ex dipendenti e 1.088 consulenti.
Natura dei dati rubati
Il 4 dicembre Campari ha citato nome, cognome, indirizzo e-mail, numeri di cellulare, ruolo e numero identificativo del personale nel Network Campari. “Alcuni contratti, documenti e dati personali, dati contabili principalmente riferiti alla consociata statunitense del gruppo”. In particolare, ci sono quindi informazioni commerciali, dettagli di pagamento di clienti, curriculum di candidati, documenti aziendali anche riservati come analisi, presentazioni, contabilità.
La posizione di Campari sull’attacco a novembre
Campari il tre novembre aveva annunciato un “attacco malware (virus informatico), che è stato prontamente identificato”, sostanzialmente minimizzando l’accaduto. Invece il 6 ha aggiunto in un’altra nota “stiamo ancora indagando sull’attacco e, in particolare, determinando in che misura si sia verificata la perdita di riservatezza e di disponibilità di certi dati personali e di business. In questa fase, non possiamo escludere che siano stati violati alcuni dati personali e di business”.
“Insieme a esperti di sicurezza informatica abbiamo potuto contenere l’evento mettendo immediatamente in atto tutte le
possibili misure di sicurezza aggiuntive. Ci scusiamo per ogni possibile inconveniente che questo possa causare ai nostri clienti e partner e sottolineiamo la necessità di essere ancora più vigili nelle circostanze attuali, in particolare per quanto riguarda le comunicazioni sospette”.
Campari ha già avvisato il Garante Privacy.
“L’attacco è stato tempestivamente notificato alle autorità competenti per la protezione dei dati, alla Polizia Postale italiana e all’FBI”.
Il 9 novembre: “a seguito delle precedenti comunicazioni sull’attacco malware, Campari Group informa che,
nell’ambito del piano di ripristino dei propri sistemi IT, alcuni servizi sono stati progressivamente riavviati dopo il completamento dell’attività di sanificazione e l’installazione di misure di sicurezza aggiuntive. Nel frattempo, altri sistemi rimangono temporaneamente e deliberatamente sospesi od operanti con funzionalità ridotte in più siti, in attesa di essere sanificati o ricostituiti con l’obiettivo di ripristinarne la piena operatività in modo completamente sicuro”.
“Il nostro obiettivo è garantire la continuità operativa nel modo più esteso possibile per le nostre attività nonché quelle dei nostri
clienti e controparti di business. Pertanto, piani di continuità sono in fase di implementazione secondo un certo ordine di
priorità con l’obiettivo di ripristinare le attività nel modo più rapido, ancorché più prudente, per evitare qualsiasi futura ricaduta.
Continuiamo a monitorare la situazione per valutare e minimizzarne i tempi di ripresa. Pertanto, per effetto del protrarsi della
fase di ripristino oltre quanto inizialmente previsto, riteniamo che questa situazione possa generare qualche impatto
temporaneo sulla performance finanziaria del Gruppo. Sarà nostra premura fornire ulteriori aggiornamenti in modo tempestivo”.
Attacco del doppio riscatto, tutti i danni per le aziende colpite
Riassumendo, un’azienda colpita da questo attacco – crittazione, furto e minaccia di pubblicazione – subisce molteplici danni.
- Perdita di dati e indisponibilità temporanea di servizi a causa della crittografia. Prima, quando i criminali si limitavano a crittografare i dati sulle macchine delle vittime, c’erano solo questi danni.
- La pubblicazione comporta perdita di: proprietà intellettuali (nelle mani di possibili concorrenti), immagine e reputazione (quindi perdita di clienti e valore in borsa); rischi di sanzioni privacy milionarie ai sensi del Gdpr.
Dato che i danni possibili aumentano, stanno crescendo anche i riscatti, che sono a loro volta milionari. Ma come risulta da un rapporto Coveware, non è detto che i criminali cancellino i dati dopo il pagamento e quindi il ricatto può continuare.
Se i dati riguardano inoltre le infrastrutture critiche di un Paese, dall’attacco derivano anche considerazioni di sicurezza nazionale.
Chi sono i Ragnar Locker: le ceneri di Maze
Il data breach che ha coinvolto Campari deve essere letto e analizzato in ottica di scenario.
Solo qualche giorno fa, Maze, uno dei più noti e famosi gruppi di criminal hacker specializzati in Ransomware, ha ufficializzato dal suo sito nel dark web la sua uscita di scena: “Il progetto del gruppo Maze è ufficialmente terminato”.
Non dobbiamo dimenticare che Maze era di fatto una vera e propria organizzazione: un’impresa criminale, ma sempre impresa.
Questo significa che tanti criminal hacker si sono trovati senza un lavoro redditizio come quello dei ransomware e relativo riscatto da spartire. Ecco che la sua chiusura ha di fatto creato e lanciato nuove iniziative.
Due di questi nuovi gruppi nati dallo scioglimento di Maze sono molto probabilmente Ragnar Locker ed Egregor.
Due gruppi che hanno già mietuto vittime eccellenti in Italia. Ragnar Locker è stato il protagonista del data breach di Campari e non credo sia un caso che la stessa Maze nell’attacco subito da Honda lo scorso giugno avesse aggiunto al suo arsenale proprio parte del Ragnar Locker ransomware.
In parallelo, come aveva anticipato la stessa Bleeping Computer, molti affiliati associati a Maze sono passati da allora a Egregor, un’altra banda di ransomware che condivide con Maze gran parte del codice ransomware e delle TTP.
C’è chi ha accolto con un sospiro di sollievo la chiusura di Maze, ma sarà costretto a ricredersi. Maze si è trasformata nella mitologica Idra: tagliata una testa, sono nati due nuovi gruppi criminali; purtroppo molto attivi anche in Italia.
E che fine hanno fatto tutti gli altri associati di Maze? Le “competenze” di Maze dopo la “chiusura” non sono state polverizzate, ma parcellizate costringendo le aziende – dalle Enterprise alle PMI – a dover fronteggiare un numero maggiore di attori criminali… attori criminali con un bagaglio professionale e background di competenze di tutto rispetto.
Pierguido Iezzi
Non solo Campari, boom di casi simili nel 2020
Certo è che in poco tempo, nel 2020 con un crescendo da settembre, abbiamo avuto un doppio attacco hacker a Enel, a Geox, uno al gruppo Carraro, a Luxottica e ora appunto Campari, tanto per citare solo grandi aziende italiane.
Perché tanti attacchi ransomware ad aziende
“Il covid-19 ha un grosso ruolo nella crescita degli attacchi di questo tipo, perché lo smart working amplia la superficie di attacco e rende più difficile controllare la sicurezza del perimetro”, spiega l’esperto informatico Paolo Dal Checco.
Il fenomeno riguarda tutto il mondo, come registrato nello speciale pandemia che il Clusit presentare a novembre con il loro nuovo rapporto. Per l’Italia, Exprivia calcola invece che nel secondo trimestre del 2020 i crimini informatici sono aumentati di oltre il 250% rispetto ai primi tre mesi dell’anno (171 rispetto a 47).
Perché il doppio attacco è di moda
Ma perché adesso i criminali solo soliti non limitarsi più a crittografare i dati ma a rubarli? Ovvio che conviene di più a loro ma allora ci si può chiedere perché non ci hanno pensato prima. “Prima non avevano bisogno di sottrarre i dati; era più semplice crittografarli con un malware direttamente sulle macchine senza fare download e storage in cloud degli stessi”, dice Dal Checco. “Ma poi le aziende hanno imparato a fare back up, per recuperare i dati senza pagare, e così, per dare un nuovo incentivo al pagamento i criminali stanno anche minacciando la pubblicazione”, dice Dal Checco.
Come sta cambiando lo scenario ransomware
In generale, spiega Luca Bechelli di P4I, gli attaccanti stanno facendo evolvere e specializzare le proprie tecniche.
“I più preparati arrivano ad avere un customer care alle vittime, con un supporto all’acquisto di bitcoin per assicurarsi il pagamento, e addirittura hanno fornito ai pagatori pratici consigli utili a evitare future intrusioni”, dice Bechelli.
“Altri invece, probabilmente meno preparati, hanno diffuso ransomware che in realtà non cifrano i dati, ma si limitano a sostituirli con sequenze casuali di 0 e 1, rendendo i dati non più recuperabili. Sono soggetti più spregiudicati, che consolidano l’opinione degli esperti che sia sbagliato effettuare il pagamento in caso di questi attacchi, non avendo neppure la certezza di poter ottenere accesso alle informazioni”.
“Più recentemente, i gruppi di malviventi con maggiori capacità informatiche hanno avviato nuove forme di attacco che consistono in un mix tra la tecnica del ransomware e quella più “antica” del trojan: oltre all’operazione apparente di cifratura, ve ne è una nascosta di esfiltrazione dei dati, causando di fatto un doppio danno. L’azienda è infatti impossibilitata ad accedere alle informazioni, che invece sono in mano all’attaccante e, anche in caso di decifratura, può ulteriormente monetizzare l’attacco mettendo in vendita tali dati, o utilizzandoli per ulteriori forme di attacco”.
“Ad esempio, per arricchire i già enormi database di dati personali provenienti dai diversi data breach, a partire dai quali le campagne di phishing sono oggi sempre più sofisticate”.
Che fare contro i nuovi ransomware del doppio attacco, i consigli di P4i
“Se è evidente che questa forma di attacco è potenzialmente più dannosa del tradizionale ransomware, meno evidente è la ricaduta in termini di azioni che le aziende devono porre in essere per prevenire questi attacchi”, dice Bechelli.
Nel caso di ransomware tradizionale, infatti, gli esperti hanno sempre consigliato il ricorso a buone pratiche di backup e sistemi di disaster recovery aggiornati allo stato dell’arte, così da rendere inefficace la violazione ed evitare di scendere a patti con i criminali. Questa modalità di azione è indirizzata a misure di natura reattiva, volte a mitigare un incidente già avvenuto, riducendo drasticamente (ma non eliminando del tutto) i possibili impatti.
In caso di estrazione di dati, il baricentro dell’azione di cyber security dell’azienda deve spostarsi di nuovo sul rafforzamento della capacità di prevenzione – spiega Bechelli, ed in particolare in due direzioni:
- capacità di prevenzione delle infezioni da malware, che deve basarsi sempre più su strumenti in grado di identificare i “comportamenti anomali” del software che opera sui nostri sistemi (i.e. lanciare ad esempio un allarma se un software cifra dei dati, o accede a moltissimi documenti, o invia grandi quantità di dati all’esterno dell’organizzazione). Si tratta quindi di strumenti di analisi da installare su endpoint, server e nei nodi critici della rete, basato non più solo sul rinascimento di pattern di infezioni note, ma su tecniche di machine learning;
- protezione intrinseca dei dati: negli ultimi mesi abbiamo compreso come la semplice password non sia più sufficiente a proteggere l’identità digitale delle persone, e che l’autenticazione a due fattori è, di fatto, la nuova “misura minima”. Allo stesso modo, dobbiamo considerare che i dati, se in chiaro sui sistemi, sono da ritenere vulnerabili. La cifratura deve diventare il modo “normale” di gestire le informazioni digitali, e quando parliamo di cifratura si intende non tanto quella dei dischi, ma la cifratura applicativa, quella che rende il dato inutilizzabile anche in caso di furto dei dati dal database, o dai file dal nostro computer o terminale mobile. Abbiamo anche un motivo in più per farlo: se i dati sono cifrati, e le persone a cui tali dati si riferiscono non corrono pertanto dei rischi dall’attacco informatico, l’organizzazione non è tenuta a segnalare agli interessati l’incidente informatico (in tal caso il data breach ai sensi del GDPR), assicurando quindi una maggiore tutela della reputazione rispetto al mercato di riferimento.