Tutti possiamo immaginare quanto sia importante per un’azienda produttrice e venditrice di giocattoli subire un incidente alla propria catena commerciale che potrebbe metterla in difficoltà, se non altro almeno dal punto di vista del dispendio di energie: è quello che è successo alla società italiana Clementoni, con sede a Recanati, a causa di un attacco informatico all’infrastruttura aziendale che sembra essere datato allo scorso 4 dicembre.
Inizialmente è trapelata, nella giornata di domenica 5 dicembre, la notizia di alcuni disagi subiti dal personale dipendente, impegnato per diverse ore a ripristinare alcune procedure del CED.
Oggi, 6 dicembre, oltre le notizie che possono esser trapelate interne all’azienda, siamo entrati tutti in contatto con una seconda verità: infatti, il gruppo criminale collegato al ransomware Conti, ha rivendicato l’attacco sul proprio sito pubblico, utilizzato come vetrina per i leak delle vittime.
Indice degli argomenti
Il ransomware Conti colpisce ancora: c’è furto di dati
Altro attacco ransomware, dunque, che colpisce infrastruttura aziendale italiana ad opera della stessa gang criminale che recentemente aveva già attaccato la San Carlo, Argos SpA e il Comune di Torino. L’unico dato che il gruppo criminale fornisce stavolta è la grandezza del furto. Sul proprio annuncio, infatti, la si dimensiona in 111 GB di dati esfiltrati dalla rete di Clementoni.
Non possiamo ancora sapere che genere di dati siano stati rubati, l’azienda dal canto suo non ha ancora effettuato comunicazione ufficiale dell’incidente e non abbiamo certezza che questo avvenga in futuro. Sicuramente sarà una vicenda sottoposta ad aggiornamenti nelle prossime giornate.
Sicuramente sappiamo (perché abbiamo imparato ad analizzare l’operato della gang Conti) che la società italiana Clementoni è stata sottoposta ad un’offerta di riscatto, anche se non è dato sapersi al momento di che importo, al fine di poter garantire la non divulgazione di quanto rubato dalla propria rete (almeno a detta dei criminali).
Cosa sappiamo sul ransomware Conti
Conti ransomware è un gruppo criminale caratterizzato della velocità con cui crittografa i dati e si diffonde lateralmente all’interno dell’infrastruttura.
Si pensa che l’azione di questo malware sia guidata da un gruppo con sede in Russia noto sotto lo pseudonimo di Wizard Spider.
Il gruppo sta utilizzando attacchi di phishing per installare i trojan TrickBot e BazarLoader al fine di ottenere l’accesso remoto alle macchine infette.
L’e-mail utilizzata conferma di provenire da un mittente di cui la vittima si fida e utilizza un collegamento (URL) per indirizzare l’utente a un documento creato ad hoc. Il documento su Google Drive, infatti, ha un payload dannoso e, una volta scaricato, verrà avviato il download anche di un malware backdoor Bazaar che collega il dispositivo della vittima al server di comando e controllo di Conti.
Nel momento in cui è attivo sulla macchina compromessa, il ransomware Conti crittografa i dati e quindi utilizza uno schema di estorsione in due fasi.
Il ransomware Conti e la tecnica della doppia estorsione
La doppia estorsione, nota anche come pay-now-or-get-breached, si riferisce a una strategia ransomware ultimamente in crescita. In effetti ai primi tempi della comparsa dei vari tipi di ransomware, il malware si occupava solamente di crittografare i dati che trovava sotto mano e veniva richiesta un riscatto per ottenere la chiave di decriptazione di modo da poter nuovamente disporre di tali dati.
Quando i backup hanno iniziato a creare problemi economici ai gruppi di ransomware, è iniziata a sorgere la doppia estorsione. Completata la prima parte della catena infettiva appena descritta, si aggiunge il fatto che la gang criminale (esportando i dati crittografati dalla rete vittima) mette in piedi un sito web con il quale minaccia la divulgazione pubblica dei dati rubati, oltre che crittografati.
Quasi sempre il furto dei dati viene seguito dalla pubblicazione di un sample di questi dati, a dimostrazione della reale proprietà illecita dei dati rivendicati, salvo differenti accordi che di volta in volta i criminali possono prendere con la vittima di riferimento.
Cosa impariamo dal nuovo attacco ransomware
Come abbiamo visto quindi, la complessità di questo incidente e di tutte le conseguenze che ne susseguono, anche a livello legale, per la perdita dei dati (che possono essere più o meno sensibili), parte spesso tutto da una e-mail di phishing dannosa, ben mascherata, che riesce a catturare l’attenzione di alcuni dipendenti interni all’azienda vittima.
Tutto questo spesso è evitabile con una buona igiene digitale e cultura della sicurezza a tutti i livelli professionali.
Non solo i CISO possono avere a che fare con problemi di sicurezza informatica, ma chiunque entri in contatto con strumenti digitali e connessi a Internet (al giorno d’oggi quindi ogni dipendente lavoratore di quasi qualsiasi azienda).
