In un annuncio pubblicato sabato scorso sul proprio sito, il gigante della tecnologia Olympus ha confermato di essere rimasta vittima di “un potenziale incidente di cybersecurity” che ha colpito la sua rete di computer in Europa, Medio Oriente e Africa e sul quale sta attualmente indagando.
Cosa sappiamo dell’attacco ransomware a Olympus
Nella breve dichiarazione si legge che “appena sono state rilevate le attività sospette, abbiamo immediatamente mobilitato un team specializzato di incident response che include anche esperti di analisi digitali forensi, e stiamo attualmente lavorando con la massima priorità per risolvere questo problema. Come parte dell’indagine, abbiamo sospeso i trasferimenti di dati nei sistemi interessati e abbiamo informato i partner esterni interessati”.
In realtà, prima che Olympus riconoscesse quanto accaduto, una persona di cui non si conosce al momento l’identità, ha rivelato a TechCrunch i dettagli di un attacco ransomware iniziato la mattina presto dell’8 settembre.
Sui computer infetti sarebbe comparsa una nota di riscatto dalla quale si evince che l’origine delle attività criminali è da attribuirsi alla gang BlackMatter. La conferma, secondo l’analista Brett Callow di Emsisoft, è data dal fatto che l’indirizzo web del sito indicato nella nota stessa e accessibile solo attraverso la rete Tor sarebbe effettivamente quello utilizzato di solito dal gruppo criminale per comunicare con le proprie vittime.
Al momento, Olympus non ha fornito altri dettagli in merito all’incidente di sicurezza, per cui è lecito supporre che i computer risultino essere ancora criptati e la rete interna fuori uso. L’azienda, comunque, sta “attualmente lavorando per determinare l’entità del problema e continuerà a fornire aggiornamenti quando nuove informazioni saranno disponibili”.
Il gruppo ransomware BlackMatter
La firma della gang criminale BlackMatter sull’attacco ransomware a Olympus è forse il dettaglio più importante dell’incidente di sicurezza.
Il treath actor, infatti, nasce come successore di altri due famigerati gruppi ransomware: il primo, DarkSide, è salito agli onori della cronaca per aver bloccato le forniture dell’oleodotto americano di Colonial Pipeline con un attacco informatico ad una importante infrastruttura critica che, viste le conseguenze, ha cambiato lo scenario del cyber crimine; l’altro, REvil, è misteriosamente scomparso dalla rete in seguito al pesante attacco a Kaseya in seguito al quale numerose aziende in tutto il mondo sono state a loro volta colpite dal ransomware.
Revil, la super banda del ransomware scompare da internet: tutte le ipotesi
Il gruppo BlackMatter offre il suo malware come Ransomware-as-a-Service (RaaS), cioè “affitta” la propria infrastruttura ad altri criminal hacker e da questi incassa poi una quota dei riscatti ottenuti in seguito ad attacchi andati a segno.
La tecnica di attacco, invece, è quella cosiddetta “a doppia estorsione”: in pratica, i criminal hacker rubano i dati dalla rete di un’azienda prima di criptarli e poi minacciano di pubblicare i file online sul proprio sito di leak qualora il riscatto per decifrare i file non venisse pagato.
Le operazioni criminali del gruppo ransomware BlackMatter sono state isolate per la prima volta alla fine dello scorso mese di luglio dai ricercatori di Recorded Future, che mettono in guardia sulle attività di reclutamento di nuovi affiliati mediante annunci pubblicati sui forum underground della Rete.
Di contro, gli stessi operatori del ransomware BlackMatter avrebbero annunciato che non prenderanno di mira le organizzazioni sanitarie, le infrastrutture critiche, le organizzazioni del settore della difesa e le aziende no-profit. Una decisione, questa, scaturita probabilmente in seguito alle azioni intraprese dal governo degli Stati Uniti che ha promesso di prendere provvedimenti in caso di nuovi pesanti attacchi informatici: in questo senso va letto, ad esempio, l’ordine esecutivo del Presidente americano Biden che mira proprio a blindare le infrastrutture critiche USA.
Ransomware, la lezione del Governo USA: ecco i tasselli chiave di una nuova strategia
Quale lezione per tutte le aziende
“L’attacco ad Olympus non si distingue dalla lunga sequenza di compromissioni a cui abbiamo assistito nell’ultimo anno. Un crescente numero di attori malevoli ha trovato nel Ransomware-as-a-Service un modello efficace e proficuo per la propria attività criminale”, ci dice Pierluigi Paganini, Cyber Security Analyst e CEO CYBHORUS.
“Quello che ancora una volta deve farci riflettere”, continua l’analista, “è la relativa semplicità con la quale le principali ransomware gang colpiscono aziende di alto profilo internazionale. Nel caso specifico, il gruppo BlackMatter da luglio è riuscito a colpire un colosso come Olympus. Così come deve fare riflettere che il gruppo ransomware nasce dalle ceneri della celebre gang DarkSide. Negli ultimi mesi stiamo osservando continue variazioni negli assetti di queste gang. Spesso messe sotto pressione delle indagini condotte dalle forze dell’ordine, sospendono le proprie attività per un breve periodo di tempo, talvolta anche rilasciando un set di chiavi per consentire alle proprie vittime di recuperare i file cifrati a gratis. In realtà, i gruppi si riorganizzano e riornano più forti e organizzati di prima, come nel caso in discussione”.
L’attacco ransomware a Olympus, quindi, conferma ancora una volta che nessuno è al riparo da possibili e devastanti attacchi informatici.
Quanto accaduto deve quindi servire da lezione a tutte le aziende sull’importanza di predisporre un efficace piano di incident response che consenta loro di essere pronte a rispondere a qualsiasi tipologia di attacco.
Per prevenire le minacce cyber occorre dotarsi innanzitutto di una struttura difensiva adeguata dotata non solo dei più moderni e aggiornati sistemi antimalware, ma anche di personale correttamente istruito, addestrato e qualificato in grado di usare al meglio questi strumenti per bloccare sul nascere le iniziative dei criminal hacker.
Inoltre, ad un approccio reattivo alla cyber security, necessario per reagire e gestire a posteriori il rischio e gli impatti di un eventuale attacco informatico, è necessario affiancare una strategia predittiva che consenta di conoscere a priori i difetti e le vulnerabilità di un sistema in modo da neutralizzare qualunque tentativo di accesso non autorizzato alle infrastrutture aziendali.
