Data breach: nell’ultimo mese i ransomware si sono scatenati contro le aziende italiane. Dati rubati, riscatti richiesti, sistemi in down.
L’allarme cyber attacchi in Italia
Da un paio di settimane sembra esserci un particolare accanimento di cyber attaccanti contro l’Italia. Sui media nazionali sono rimbalzate le notizie di una campagna di attacchi contro server VMware EXSi, sulla scia di un comunicato molto allarmistico dell’Agenzia per la Cybersicurezza nazionale (ACN). Alla fine i server infettati realmente sono stati nell’ordine di un paio di decine, colpiti da un nuovo ransomware mai diffuso in precedenza
Ma non finisce qui: la visita del premier Giorgia Meloni a Kiev è divenuta causa scatenante di una serie di attacchi DDoS lanciati contro il sito web dei Carabinieri, contro le infrastrutture del Ministero della Difesa, contro alcune banche.
Di tutto questo si trova ampiamente traccia sulle principali testate giornalistiche italiane. Quello che invece non ha trovato molto spazio è lo stillicidio, inesorabile e costante, di attacchi ransomware.
Per saperne di più > Diluvio di cyber attacchi in Italia: i malware ruba dati più diffusi
Approfondisci l’argomento > Data breach: il 74% causati da errore umano
Lockbit 3.0 attacca l’Associazione Nazionale di Previdenza dei Ragionieri e Periti Commerciali (CNPR)
Il countdown terminerà Giovedì 23 Febbraio. A quel punto, senza un accordo con gli attaccanti, i dati inizieranno ad essere pubblicati. Questo il destino che apetta la CNPR, i cui sistemi sono stati colpiti dal ransomware Lockbit 3.0.
Come da tradizione, il gruppo LockBit ha già pubblicato una porzione dei dati esfiltrati dai sistemi. Una consuetudine nel mondo ransomware, per dimostrare che gli attaccanti hanno davvero avuto accesso ai sistemi attaccati.
I ransomware contro i videogame
Microgame SpA è un’azienda italiana con sede a Benevento. Microgame è un network di gioco, ma la piattaforma è divenuta irraggiungibile in seguito ad un attacco hacker. Inizialmente l’attacco sembrava collegato alla campagna di diffusione del ransomware ESXiArgscontro i server VMware ESXi vulnerabili.
Fino a quando il gruppo ransomware Play ha pubblicato la rivendicazione dell’attacco sul proprio site leak.
La rivendicazione è accompagnata da una pubblicazione parziale dei dati rubati. I dati pubblicati ammontano a circa 5GB e conterrebbero, stando a quando dichiarato dagli attaccanti, ID utente, carte di credito, documenti dei clienti, contratti ecc…
Scopri di più > Dati personali di italiani in vendita: il costo è 5 centesimi
Ai ransomware piace il vino!
Il 15 febbraio è scaduto il countdown imposto alla Cantina Tollo, azienda vitivinicola del Chietino. Anche in questo caso, la responsabilità giace sulle spalle del gruppo ransomware Lockbit. La rivendicazione dell’attacco è comparsa, infatti, sul leak site diLockBit 3.0 i primi giorni di Febbraio.
Non è chiaro quanti dati siano stati sottratti, quel che si sa è che sono stati chiesti circa 250.000 dollari per cancellare i dati esfiltrati e 1000 dollari per ogni estensione di 24h del countdown.
LockBit contro i trasporti!
Infine, senza pretesa di completezza ovviamente, citiamo l’attacco subito dall’azienda di trasporti Tonoli, ennesima vittima italiana di un Febbraio infausto. Il 14 Febbraio è scaduto l’ennesimo countdown: la rivendicazione dell’attacco era comparsa 11 giorni prima.
Perché un ransomware va considerato (quasi) sempre come un data breach?
Un attacco ransomware può essere considerato anche un data breach in quanto gli hacker che eseguono l’attacco hanno accesso non autorizzato ai dati dell’organizzazione colpita e possono anche prenderne il controllo, impedendone l’utilizzo normale.
In altre parole, il ransomware non solo crittografa i dati dell’organizzazione, ma in molti casi, i criminali informatici esfiltrano i dati sensibili prima della crittografia e minacciano di renderli pubblici o di vendere tali informazioni sul mercato nero se non viene pagato il riscatto richiesto. Questo accesso non autorizzato e l’eventuale furto di dati sensibili rappresentano una violazione della sicurezza informatica dell’organizzazione colpita, il che rende l’attacco ransomware anche un data breach. Inoltre, i dati sensibili dell’organizzazione possono essere compromessi se i criminali informatici decidono di divulgare le informazioni o di utilizzarle in altri attacchi.
Per approfondire di più > Data breach: la guida pratica dell’EDPB per le notifiche e gestione del rischio (soprattutto quello umano)
Per approfondire > Notifica data breach: l’EDPB aggiorna le linee guida
