Nella giornata del 17 gennaio il nuovo gruppo ransomware AlphV (BlackCat) ha rivendicato il successo dell’attacco al colosso della moda di lusso Moncler SpA, che ha prontamente emesso un aggiornamento ufficiale dopo che aveva già comunicato l’accaduto a partire dalle prime fasi dell’incidente iniziato lo scorso 23 dicembre.
Il gruppo ransomware AlphV BlackCat è una banda criminale di recente costituzione con un metodo di attacco estremamente sofisticato che, per la sua complessità e giovane natura, è considerato tra i più pericolosi degli ultimi anni.
Indice degli argomenti
Ransomare a Moncler: c’è stato furto dati
Al netto dei comunicati ufficiali, la rivendicazione dell’attacco a Moncler è avvenuta sul sito di data leaks del gruppo AlphV, che ha pubblicato il post con alcune schermate di dettaglio sui dati esfiltrati.
Analizzando il contenuto della struttura dei dati sottratti all’azienda, possiamo evincere che i criminali informatici ne sono entrati in possesso a partire dal 22 dicembre scorso, per poi organizzarne la diffusione a partire dal 14 gennaio 2022 (resa nota il 17 dicembre, come dicevamo).
La diffusione che sta avvenendo nelle ultime ore si sta svolgendo interamente su domini .onion di proprietà della banda criminale, sotto rete Tor. Questo riguarda l’accesso al blog di AlphV ma anche a un web server organizzato ad hoc per l’evento in questione, nel quale viene condivisa l’intera struttura dei dati rubati, appunto con accesso HTTP.
Da quello che abbiamo potuto notare, si tratterebbe dell’esfiltrazione completa delle cartelle utente di uno o più domini di rete (presumibilmente Active Directory) al cui interno si presentano dati di ogni tipo inerenti l’attività lavorativa della società: ordini, contatti con clienti e fornitori, schede tecniche, documenti di pagamento, bozze di bilanci.
Ma anche, come spesso accade, una grande fetta di documenti personali, non inerenti l’attività lavorativa del personale che, lo ricordiamo, mettono a rischio la privacy della persona stessa intestataria di quei dati: motivo per il quale non è mai considerata una buona pratica utilizzare gli stessi meccanismi di custodia per documentazione personale e professionale.
Impatti per il brand, una lezione per tutte le aziende
Il caso dell’incidente informatico ai danni di Moncler è di grande impatto per l’importanza che il brand riveste nel settore commercio e alta moda. I contatti che intrattiene infatti, come fornitori e come clienti, portano il peso di essere tra i principali marchi del settore moda a livello mondiale, questo potrebbe esporne appunto un rischio prima di tutto sulla documentazione accessibile (quindi aziendale) e poi da non sottovalutare l’eventuale futuro rischio reputazionale.
Come da richiesta esposta da AlphV, all’azienda è stato richiesto un riscatto di 3 milioni di dollari che, come comunicato ufficialmente da Moncler, non è stato oggetto di trattativa escludendone quindi da subito l’eventuale pagamento.
Tra gli impatti derivanti da attacchi di questo tipo, è giusto ricordarlo, si sottolinea l’importanza che rivestono gli attacchi mirati, derivanti proprio da impostazioni esfiltrate sulla base dei dati diffusi illecitamente. Tra questi spiccano le campagne di phishing mirate verso clienti o fornitori, atte a rubare credenziali di accesso o diffondere malware, impersonando aziende ed enti come contatti target della vittima presa di mira. Da qui l’importanza intrinseca che rivestono le buone pratiche di protezione dei dati e documenti a tutti i livelli professionali, pubblici e privati.