Il miliardo di dollari di riscatto chiesto dai cyber criminali non è la parte succulenta della notizia, sulla cui sensazionalità hanno un peso la sofisticatezza dell’attacco, la mancanza di procedure serie e di formazione del personale palesate dalle aziende vittime che hanno favorito le scorribande di Scattered LAPSUS$ Hunters.
Va detto sin da subito che Salesforce, pure essendo oggetto delle attenzioni dei criminali, non è direttamente coinvolta.
Va anche detto che, fino a quando sarà necessario parlare della pochezza delle procedure aziendali, tali ovvietà non saranno mai banali.
Scattered LAPSUS$ Hunters è un consorzio del cyber crimine formato da tre gruppi già noti, ossia Scattered Spider, LAPSUS$ e ShinyHunters. L’unione di questi collettivi è tracciata con il nome UNC6040.
Indice degli argomenti
L’attacco di Scattered LAPSUS$ Hunters
È stato reso noto il 3 ottobre ma ha agito nel corso dei mesi precedenti. Va sviscerato a causa della sua complessità. Un attacco multi-vettore che trae la propria origine dall’assenza di procedure analogiche delle aziende coinvolte.
I cyber criminali hanno contattato via telefono i dipendenti di aziende clienti di Salesforce e fingendosi tecnici o fornitori, hanno fatto sì che le vittime fornissero accessi o istallassero software malevolo (social engineering mirato).
Laddove necessario, il collettivo ha usato tecniche di Sim swapping per intercettare codici di autenticazione multi-fattore.
Ottenendo token OAuth validi il consorzio Scattered LAPSUS$ Hunters ha avuto libero accesso alle API Saleforces e ha potuto esportare interi database i cui dati, almeno in parte, sono stati pubblicati sul dark web minacciando le vittime di pubblicarne altri in difetto del pagamento di un riscatto, fissato in circa un miliardo di dollari (984 milioni, per l’esattezza). Quasi un dollaro per ogni record sottratto a causa di governance perfettibili.
Un attacco composto quindi da social engineering, compromissione di applicazioni terze, accesso alle API (di Salesforce, in questo caso), esfiltrazione e richiesta di riscatto. Di tutto un po’ e, dal punto di vista delle aziende vittime, uno smacco reputazionale che getta ingiustamente discredito esclusivamente sull’affidabilità dei servizi online senza tenere conto che queta dipende in buona parte anche delle procedure e delle contromisure analogiche di chi eroga tali servizi.
Infatti, tutto ciò si sarebbe potuto evitare, come vedremo in seguito anche grazie al parere del funzionario ICT e membro Clusit Salvatore Lombardo, applicando delle misure analogiche minime.
La memoria riporta al mese di luglio del 2024, quando in casa Ferrari una truffa è stata sventata grazie a una semplice domanda.
Perché la cyber security c’entra poco
Non è il digitale a finire alla sbarra: è la scarsa cultura del lavoro e della professionalità, è la pessima organizzazione aziendale, è la pigrizia dell’uomo.
Se un finto tecnico raggiunge al telefono dei dipendenti e questi non si fanno la benché minima domanda, eseguendo in modo acritico le istruzioni impartite, il digitale e la cyber security entrano in gioco solo in un secondo momento.
L’entità del furto e la posizione di Salesforce
Le tante informazioni che si stanno accavallando consentono di definire la portata dell’attacco, che coinvolge almeno 39 aziende clienti Salesforce.
Tra queste figurano nomi di rilievo quali FedEx, Qantas e anche Google.
Nel frattempo, Salesforce ha fatto sapere di non volere cedere alle richieste di Scattered LAPSUS$ Hunters ma il riscatto – pure avendo un suo peso – non veste i panni della star sul palcoscenico, è conseguenza di un tutto più grande.
Come imposto dalle norme, Salesforce ha avvisato i clienti coinvolti, sta collaborando con le autorità: atti dovuti ma sempre insufficienti.
La mancanza di procedure e la cultura del lavoro
Qualsiasi processo aziendale e, prima di tutto, un esercizio di organizzazione. Il punto di vista di Salvatore Lombardo non lascia spazio a fraintendimenti: “Quando un attacco informatico riesce perché un dipendente installa un software o fornisce credenziali a un finto fornitore, il problema non è digitale ma piuttosto organizzativo.
In questi casi la tecnologia è solo il mezzo attraverso cui si manifesta una debolezza comportamentale dovuta alla mancanza di regole chiare, controlli efficaci e una cultura della verifica.
Inoltre, la formazione del personale è fondamentale, ma da sola non basta. Per essere davvero utile per ridurre il rischio di subire un attacco come quello che ha coinvolto i clienti Salesforce, la formazione delle risorse umane dovrebbe essere affiancata da procedure organizzative semplici e pratiche”, conclude Lombardo.
