Bricofer, attacco ransomware e dati rubati: la nostra analisi - Cyber Security 360

lockbit 2.0

Bricofer, attacco ransomware e dati rubati: la nostra analisi

La nota e storica azienda del settore commerciale per materiali di hobbistica ed utensileria, Bricofer, ha subito un attacco a fine dicembre, rivendicato il 5 gennaio da Lockbit 2.0. Dati presi in ostaggio, rubati. Ecco cosa si sa finora, nel silenzio dell’azienda

08 Gen 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Attacco ransomware Lockbit 2.0 all’italiana Bricofer, rivendicata dalla gang il 5 gennaio. Si tratta della nota e storica azienda del settore commerciale per materiali di hobbistica ed utensileria con 120 punti vendita in tutta Italia. Alcuni dati sono stati criptati e rubati.

 L’attacco ransomware a Bricofer

La nostra analisi si basa sul materiale messo a disposizione dalla gang. L’azienda, come spesso accade in questi casi nel nostro paese, non ha fatto comunicati ufficiali. Abbiamo provato a contattarla e poi ora non abbiamo avuto alcuna reazione. 

WHITEPAPER
Come gestire in modo flessibile i carichi di lavoro con un approccio multicloud mirato?
Storage
Trade

Questo è l’annuncio come si presenta oggi direttamente online sul sito dedicato ai data leaks del gruppo Lockbit 2.0 (ospitato sotto rete Tor per garantire l’anonimato dei gestori responsabili/complici del gruppo). La forma era la medesima anche il 5 gennaio al netto dell’unica variante sullo stato dei files, da “published” (come ora) si apprezzava un contatore alla rovescia che scandiva i secondi, minuti, ore e giorni che attendono alla diffusione online del contenuto.

Quello che sappiamo per certo è che Bricofer ha subito un attacco informatico a uno dei suoi sistemi. In questo attacco sono stati sicuramente crittografati dei dati all’interno del sistema stesso. Con altrettanta certezza possiamo affermare che dei dati appartenenti a Bricofer sono stati rubati, a titolo di ostaggio su richiesta di riscatto. L’importo della richiesta non è noto, ma nella mezzanotte di oggi sono stati diffusi online, presumibilmente come conclusione negativa di eventuali trattative.

Un dettaglio che è sfuggito ai più è che in questo caso il gruppo Lockbit 2.0 ha deciso di integrare già nell’annuncio iniziale (ancor prima di diffondere i files), un filetree (indice testuale di file), nel quale elenca tutti i file esfiltrati durante l’attacco. Di cui ne possiamo dare visione dal seguente screenshot:

Ora che abbiamo potuto apprezzare l’interezza dei file rubati possiamo dettagliare alcune parti del caso finora ambigue.

Com’è avvenuto l’attacco a Bricofer

L’attacco è avvenuto ad un’unità server che sembra non gestionale operativa (es. server web, server mail o gestionale interno), ma ha tutte le carte in regola per essere un’unità fileserver condivisa alla quale i terminali workstation si collegano per depositare/consultare documenti aziendali di un ufficio/reparto, che tutti condividono a pari poteri.

I dati rubati a Bricofer

I file contenuti all’interno sono molto eterogenei e sensibili. Ci sono documenti su fornitori, clienti, fatturazione (quindi indirizzi, codici iban e dati fiscali), bilanci interni, elenchi di mail relativi a clienti con fidality-card attiva, scansioni di documenti d’identità.

In pratica tutti i dati più sensibili dell’azienda, anche affidati dai clienti, che sicuramente non possono esser dispersi in questa maniera nel Web alla portata di chiunque.

Abbiamo inoltre evidenza che, come menzionato, ci siano dati significativi dei clienti registrati con anagrafica presso tutti i punti vendita dell’azienda (circa 13.300 contatti dalle evidenze analizzate), che ad oggi non hanno ricevuto alcuna comunicazione in merito a quanto accaduto ai loro dati.

E’ bene sottolineare anche che all’interno ci sono numerosi documenti contabili/fiscali della Ottimax Italia SpA, azienda del medesimo settore di Bricofer, presumibilmente facente parte del medesimo gruppo aziendale o con il quale si stringe stretta partnership lavorativa.

Aziende indifese

Riteniamo infine che l’attacco sia avvenuto interno al 28 dicembre 2021, dettaglio che peggiora ulteriormente la situazione di trasparenza in quanto allunga di molto i tempi imposti per le comunicazioni ufficiali.

Ultimamente non è raro che veniamo a conoscenza dell’incidente infatti unicamente grazie alla rivendicazione pubblica da parte dei criminali, fatto che incide gravemente sulla trasparenza in quanto potrebbe lasciar pensare che se nessuno avesse rivendicato l’attacco, i dati sarebbero comunque in mani sbagliate e in più nessuno verrebbe mai a saperlo.

Questa è la parte più grave e delicata della gestione dei dati altrui che ricordiamo, devono esser custoditi con ogni strumento utile a garantirne la sicurezza e riservatezza.

Gli attacchi ransomware in Italia stanno aumentando e le minacce non danno segni di cedimento nemmeno in questo nuovo 2022, è per questo che aziende private (ma anche enti pubblici) devono investire in formazione del personale su tematiche inerenti la sicurezza digitale e le buone norme informatiche sull’uso delle tecnologie, nonché in cyber security aziendale con strumenti/figure adeguate ad effettuare una costante cyber intelligence sul perimetro di interesse.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5