Il 25 febbraio 2022 è comparso nel Deep Web l’annuncio di un grave attacco hacker ai danni di una delle più famose catene di fast food di tutto il mondo: McDonald’s, la storica impresa americana che affonda le radici nei primi anni del secondo dopoguerra e che oggi conta più di 200mila dipendenti in tutto il mondo, una delle aziende più ricche al mondo con un fatturato di oltre 21 miliardi di dollari nel 2019.
Il gruppo criminale Snatch ha infatti dichiarato sul suo data-leak site che oltre 500 GB di dati aziendali riservati sono stati prelevati dalla multinazionale.
La rivendicazione non ha al momento dato seguito a nessun commento ufficiale da parte della capogruppo. Circostanza che, unita all’assenza di prove rilasciate pubblicamente dai criminali, lascia aperti due principali interrogativi: è infatti possibile che i criminali di Snatch stiano utilizzando l’annuncio per aumentare la pressione su eventuali negoziati in atto con la compagnia, senza rilasciare al pubblico alcun dato con la speranza di salvaguardare l’integrità dell’eventuale trattativa in corso; oppure, potrebbe trattarsi del risultato di un attacco condotto dalla gang ad una delle subsidiaries della multinazionale.
Al momento, quindi, l’estorsione non è del tutto confermata. Tuttavia, la minaccia è da ritenersi credibile in quanto il gruppo ha in passato colpito realtà internazionali di pari livello e, inoltre, il tempismo dell’attacco potrebbe potenzialmente intendere una forma di rappresaglia verso i simboli dell’occidente, di cui la celebre catena McDonald’s è senz’altro parte.
Rappresaglia che è già stata conclamata apertamente dalla gang criminale russa Conti, proprio in risposta ai contrattacchi cyber degli hacker ucraini e del collettivo Anonymous verso le strutture governative dell’apparato di potere di Putin, partiti subito dopo l’invasione dell’Ucraina del 24 febbraio 2022.
Snatch: chi è e come si muove il gruppo ransomware
Il gruppo Snatch è un collettivo cyber criminale moderno tra i più longevi, opera nella sfera di influenza russa ed è attivo dal 2020 con operazioni di estorsione singola, ma solo più di recente nel corso del 2021 si è evoluto con le pratiche della doppia estorsione e con furti massivi di dati. Dal progetto doubleextortion.com emergono tracce di un’intensa attività offensiva che ha coinvolto almeno 40 vittime confermate in pochissimi mesi, da novembre 2021 a febbraio 2022, tra cui anche la casa automobilistica svedese Volvo.
Il gruppo sta correntemente utilizzando malware moderni scritti in linguaggio Go ed è estremamente pericoloso.
Per proteggersi da questi pericolosi criminali russi, il consiglio è di verificare e monitorare il funzionamento degli agenti EDR e lo stato di aggiornamento delle protezioni antivirus all’interno del parco server aziendale, di tutto il parco server, sia Microsoft che Linux, e di aumentare la visibilità di rete e le capacità di risposta attacco, per intercettare in tempo utile le potenziali intrusioni in atto.
