Campari, attacco hacker con furto dati: perché sta capitando a tante aziende e come difendersi - Cyber Security 360

Ransomware

Campari, attacco hacker con furto dati: perché sta capitando a tante aziende e come difendersi

Anche Campari colpita dalla tecnica del doppio attacco, due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari. Vediamo perché c’è un boom del fenomeno (Geox, Luxottica, Enel…) e che deve fare un’azienda per difendersi

09 Nov 2020

Campari Group ha subito nei giorni scorsi un attacco ransomware, con la tecnica del doppio-riscatto, sempre più frequente in quest’ultimo anno: due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari. Con il riscatto i criminali – il gruppo Ragnar Locker – darebbero anche un decryptor e consigli di sicurezza. Lo stesso gruppo Ragnar Locker, con tecnica simile, ha colpito Capcom la scorsa settimana, con minaccia di pubblicazione o vendita all’asta dei dati.

Cosa sappiamo dell’attacco ransomware di Campari

Al momento le informazioni sono limitate sulla natura effettiva dei dati. Ma Campari riconosce la possibilità di perdita di dati personali a seguito dell’attacco e certo continua a subire, dai primi di novembre, conseguenti disservizi sulla rete.  

I criminali affermano di avere in mano documenti fiscali, proprietà intellettuali, dati personali di clienti e dipendenti, inclusi quelli di identità. Documenti con accordi e contratti aziendali eccetera.

Ad avere comunicato l’avvenuto è Bleeping Computer.

La posizione di Campari sull’attacco

Campari il tre novembre aveva annunciato un “attacco malware (virus informatico), che è stato prontamente identificato”, sostanzialmente minimizzando l’accaduto. Invece il 6 ha aggiunto in un’altra nota “stiamo ancora indagando sull’attacco e, in particolare, determinando in che misura si sia verificata la perdita di riservatezza e di disponibilità di certi dati personali e di business. In questa fase, non possiamo escludere che siano stati violati alcuni dati personali e di business”.
“Insieme a esperti di sicurezza informatica abbiamo potuto contenere l’evento mettendo immediatamente in atto tutte le
possibili misure di sicurezza aggiuntive. Ci scusiamo per ogni possibile inconveniente che questo possa causare ai nostri clienti e partner e sottolineiamo la necessità di essere ancora più vigili nelle circostanze attuali, in particolare per quanto riguarda le comunicazioni sospette”.

Campari ha già avvisato il Garante Privacy.

“L’attacco è stato tempestivamente notificato alle autorità competenti per la protezione dei dati, alla Polizia Postale italiana e all’FBI”.

Il 9 novembre: “a seguito delle precedenti comunicazioni sull’attacco malware, Campari Group informa che,
nell’ambito del piano di ripristino dei propri sistemi IT, alcuni servizi sono stati progressivamente riavviati dopo il completamento dell’attività di sanificazione e l’installazione di misure di sicurezza aggiuntive. Nel frattempo, altri sistemi rimangono temporaneamente e deliberatamente sospesi od operanti con funzionalità ridotte in più siti, in attesa di essere sanificati o ricostituiti con l’obiettivo di ripristinarne la piena operatività in modo completamente sicuro”.

“Il nostro obiettivo è garantire la continuità operativa nel modo più esteso possibile per le nostre attività nonché quelle dei nostri
clienti e controparti di business. Pertanto, piani di continuità sono in fase di implementazione secondo un certo ordine di
priorità con l’obiettivo di ripristinare le attività nel modo più rapido, ancorché più prudente, per evitare qualsiasi futura ricaduta.
Continuiamo a monitorare la situazione per valutare e minimizzarne i tempi di ripresa. Pertanto, per effetto del protrarsi della
fase di ripristino oltre quanto inizialmente previsto, riteniamo che questa situazione possa generare qualche impatto
temporaneo sulla performance finanziaria del Gruppo. Sarà nostra premura fornire ulteriori aggiornamenti in modo tempestivo”.

Attacco del doppio riscatto, tutti i danni per le aziende colpite

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

Riassumendo, un’azienda colpita da questo attacco – crittazione, furto e minaccia di pubblicazione – subisce molteplici danni.

  • Perdita di dati e indisponibilità temporanea di servizi a causa della crittografia. Prima, quando i criminali si limitavano a crittografare i dati sulle macchine delle vittime, c’erano solo questi danni.
  • La pubblicazione comporta perdita di: proprietà intellettuali (nelle mani di possibili concorrenti), immagine e reputazione (quindi perdita di clienti e valore in borsa); rischi di sanzioni privacy milionarie ai sensi del Gdpr.

Dato che i danni possibili aumentano, stanno crescendo anche i riscatti, che sono a loro volta milionari. Ma come risulta da un rapporto Coveware, non è detto che i criminali cancellino i dati dopo il pagamento e quindi il ricatto può continuare.

Se i dati riguardano inoltre le infrastrutture critiche di un Paese, dall’attacco derivano anche considerazioni di sicurezza nazionale.

Non solo Campari, boom di casi simili nel 2020

Certo è che in poco tempo, nel 2020  con un crescendo da settembre, abbiamo avuto un doppio attacco hacker a Enel, a Geox, uno al gruppo Carraro, a Luxottica e ora appunto Campari, tanto per citare solo grandi aziende italiane.

Perché tanti attacchi ransomware ad aziende

“Il covid-19 ha un grosso ruolo nella crescita degli attacchi di questo tipo, perché lo smart working amplia la superficie di attacco e rende più difficile controllare la sicurezza del perimetro”, spiega l’esperto informatico Paolo Dal Checco.

Il fenomeno riguarda tutto il mondo, come registrato nello speciale pandemia che il Clusit presentare a novembre con il loro nuovo rapporto. Per l’Italia, Exprivia calcola invece che nel secondo trimestre del 2020 i crimini informatici sono aumentati di oltre il 250% rispetto ai primi tre mesi dell’anno (171 rispetto a 47).

Perché il doppio attacco è di moda

Ma perché adesso i criminali solo soliti non limitarsi più a crittografare i dati ma a rubarli? Ovvio che conviene di più a loro ma allora ci si può chiedere perché non ci hanno pensato prima. “Prima non avevano bisogno di sottrarre i dati; era più semplice crittografarli con un malware direttamente sulle macchine senza fare download e storage in cloud degli stessi”, dice Dal Checco. “Ma poi le aziende hanno imparato a fare back up, per recuperare i dati senza pagare, e così, per dare un nuovo incentivo al pagamento i criminali stanno anche minacciando la pubblicazione”, dice Dal Checco.

Come sta cambiando lo scenario ransomware

In generale, spiega Luca Bechelli di P4I, gli attaccanti stanno facendo evolvere e specializzare le proprie tecniche.

“I più preparati arrivano ad avere un customer care alle vittime, con un supporto all’acquisto di bitcoin per assicurarsi il pagamento, e addirittura hanno fornito ai pagatori pratici consigli utili a evitare future intrusioni”, dice Bechelli.

“Altri invece, probabilmente meno preparati, hanno diffuso ransomware che in realtà non cifrano i dati, ma si limitano a sostituirli con sequenze casuali di 0 e 1, rendendo i dati non più recuperabili. Sono soggetti più spregiudicati, che consolidano l’opinione degli esperti che sia sbagliato effettuare il pagamento in caso di questi attacchi, non avendo neppure la certezza di poter ottenere accesso alle informazioni”.

“Più recentemente, i gruppi di malviventi con maggiori capacità informatiche hanno avviato nuove forme di attacco che consistono in un mix tra la tecnica del ransomware e quella più “antica” del trojan: oltre all’operazione apparente di cifratura, ve ne è una nascosta di esfiltrazione dei dati, causando di fatto un doppio danno. L’azienda è infatti impossibilitata ad accedere alle informazioni, che invece sono in mano all’attaccante e, anche in caso di decifratura, può ulteriormente monetizzare l’attacco mettendo in vendita tali dati, o utilizzandoli per ulteriori forme di attacco”.

“Ad esempio, per arricchire i già enormi database di dati personali provenienti dai diversi data breach, a partire dai quali le campagne di phishing sono oggi sempre più sofisticate”.

Che fare contro i nuovi ransomware del doppio attacco, i consigli di P4i

“Se è evidente che questa forma di attacco è potenzialmente più dannosa del tradizionale ransomware, meno evidente è la ricaduta in termini di azioni che le aziende devono porre in essere per prevenire questi attacchi”, dice Bechelli.

Nel caso di ransomware tradizionale, infatti, gli esperti hanno sempre consigliato il ricorso a buone pratiche di backup e sistemi di disaster recovery aggiornati allo stato dell’arte, così da rendere inefficace la violazione ed evitare di scendere a patti con i criminali. Questa modalità di azione è indirizzata a misure di natura reattiva, volte a mitigare un incidente già avvenuto, riducendo drasticamente (ma non eliminando del tutto) i possibili impatti.

In caso di estrazione di dati, il baricentro dell’azione di cyber security dell’azienda deve spostarsi di nuovo sul rafforzamento della capacità di prevenzione – spiega Bechelli, ed in particolare in due direzioni:

  • capacità di prevenzione delle infezioni da malware, che deve basarsi sempre più su strumenti in grado di identificare i “comportamenti anomali” del software che opera sui nostri sistemi (i.e. lanciare ad esempio un allarma se un software cifra dei dati, o accede a moltissimi documenti, o invia grandi quantità di dati all’esterno dell’organizzazione). Si tratta quindi di strumenti di analisi da installare su endpoint, server e nei nodi critici della rete, basato non più solo sul rinascimento di pattern di infezioni note, ma su tecniche di machine learning;
  • protezione intrinseca dei dati: negli ultimi mesi abbiamo compreso come la semplice password non sia più sufficiente a proteggere l’identità digitale delle persone, e che l’autenticazione a due fattori è, di fatto, la nuova “misura minima”. Allo stesso modo, dobbiamo considerare che i dati, se in chiaro sui sistemi, sono da ritenere vulnerabili. La cifratura deve diventare il modo “normale” di gestire le informazioni digitali, e quando parliamo di cifratura si intende non tanto quella dei dischi, ma la cifratura applicativa, quella che rende il dato inutilizzabile anche in caso di furto dei dati dal database, o dai file dal nostro computer o terminale mobile. Abbiamo anche un motivo in più per farlo: se i dati sono cifrati, e le persone a cui tali dati si riferiscono non corrono pertanto dei rischi dall’attacco informatico, l’organizzazione non è tenuta a segnalare agli interessati l’incidente informatico (in tal caso il data breach ai sensi del GDPR), assicurando quindi una maggiore tutela della reputazione rispetto al mercato di riferimento.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 5