Il ransomware

Rovagnati colpita da ransomware: Lockbit rivendica attacco e pubblica sample

Il gigante italiano dei salumi Rovagnati sembra essere stato colpito dalla gang Lockbit 3.0, che rivendica attacco e mostra le immagini di documenti esfiltrati

20 Lug 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Il gigante dei salumi Rovagnati, sembra essere stato colpito da un ransomware, a giudicare dalla rivendicazione dell’attacco da parte della gang Lockbit 3.0.

Una grande realtà storica italiana, quindi, presumibilmente sta vedendo alcuni dei propri dati interni aziendali rubati, ora nelle mani del crimine informatico.

Rovagnati colpita dal ransomware LockBit3.0

È apparsa nella giornata del 19 luglio la rivendicazione dell’attacco, direttamente sul Data Leak Site della cyber gang LockBit 3.0, rivolto alla nota azienda italiana produttrice di salumi. Marchio noto da oltre 70 anni, Rovagnati ha visto esposto sul sito del gruppo criminale informatico specializzato in attacchi di tipo ransomware, oltre alla rivendicazione dell’attacco appunto, anche alcuni sample a dimostrazione dell’effettiva riuscita dell’operazione.

WHITEPAPER
Nuovi attacchi informatici VS 3 nuovi modelli di sicurezza: scoprili!
Finanza/Assicurazioni
Sicurezza

I file presunti esflitrati a Rovagnati

Si tratta di 10 file riportanti alcune schede prodotto e alcuni documenti interni tra cui documenti d’identità validi del personale e dichiarazioni aziendali riservate. E ora, come da modus operandi tipico di questo gruppo, lascia lo spazio di 15 giorni, per portare a termine una trattativa con i responsabili dell’azienda.

La minaccia

Qualora questa trattativa fallisca, la minaccia è (oltre ad aver danneggiato e reso inutilizzabili i file con i quali il software malevolo è entrato in contatto) quella di esporre al pubblico di Internet tutto l’archivio completo dei dati che sono stati rubati, durante l’attacco. Con la tecnica della doppia estorsione perciò il danno è massiccio, soprattutto quello reputazionale. Non è più sufficiente infatti avere un backup aggiornato e funzionante, per recuperare i dati danneggiati dal malware, l’esposizione di quanto rubato, continuerà a danneggiare l’azienda e i suoi contatti (dipendenti, clienti e fornitori), per diverso tempo a venire. Tutto questo non fa altro che offrire nuovo materiale ad altri gruppi criminali organizzati e non, per sferrare ulteriori attacchi nel prossimo futuro, utilizzando proprio questi dati rubati.

Lo scenario delle possibili insicurezze interne

Non si hanno ancora dettagli su ciò che è accaduto all’interno dell’infrastruttura informatica di Rovagnati. CyberSecurity360 tuttavia, ha condotto un’analisi indipendente sugli scenari possibili, partendo dal server che ospita il sito Web ufficiale della società. Abbiamo rilevato un insieme di almeno 7 vulnerabilità ben note (alcune addirittura dal 2006), contenenti quasi tutte il pericolo intrinseco del Cross Site Scripting (XSS). Questo potrebbe permettere a utenti malintenzionati la raccolta, manipolazione e reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server.

Ricordiamo che LockBit3.0, aggiornato proprio di recente rispetto al precedente LockBit2.0, opera su siti Web appositamente predisposti dietro la rete Tor, per garantirsi una certa sicurezza nell’anonimato.

CyberSecurity360 ha chiesto un commento alla società in merito all’incidente – via mail e al telefono: l’articolo è stato aggiornato il 27 luglio 2022 a seguito di scambi intervenuti con Rovagnati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5