Se un ransomware blocca i trasporti internazionali: quale lezione dall’attacco alla Hellmann - Cyber Security 360

L'ANALISI TECNICA

Se un ransomware blocca i trasporti internazionali: quale lezione dall’attacco alla Hellmann

La gang RansomExx ha diffuso 70 GB di dati esfiltrati in seguito a un attacco informatico che ha messo a dura prova l’operatività del gigante tedesco dei trasporti Hellmann. Tra i file, anche un elenco di credenziali in chiaro per l’accesso ai servizi di altre aziende di cui la società è cliente/fornitore. Un aspetto che sottolinea la problematica gestione delle password sui luoghi di lavoro

16 Dic 2021
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

La Hellmann Worldwide Logistics, il gigante tedesco dei trasporti e della logistica, è stata colpita da un attacco informatico che ha bloccato le operazioni quotidiane: si è trattato di un ransomware.

Le indagini sono ancora in corso per accertare le cause dell’incidente di sicurezza, ma intanto la gang criminale RansomExx (già nota per l’attacco alla Regione Lazio) che ha diffuso i dati con un leak di 70 GB sul proprio sito nel Dark Web, raggiungibile sotto rete Tor, ne rivendica l’attacco pubblicamente dal 15 dicembre 2021.

Il nuovo attacco ransomware colpisce una importante società fondata un secolo e mezzo fa che conta 489 uffici in 174 paesi. La società gestisce circa 16 milioni di spedizioni all’anno e nel 2020 ha registrato ricavi per 2,9 miliardi di euro.

I dettagli del ransomware a Hellmann

Il ransomware per diversi giorni ha messo a dura prova il gigante di riferimento nel settore dei trasporti, interrompendone l’operatività a seguito della crittografia dei file ai quali ha avuto accesso, contenuti in server interni della società. Nel contempo, però, ha esfiltrato questi dati dando modo ai criminali del gruppo di entrarne in possesso per poter estorcere un riscatto (del quale, al momento, non si conoscono i dettagli).

WHITEPAPER
Dispositivi Apple: perché la distribuzione e gestione è più facile. Scarica la guida
Mobility
Networking

Il 9 dicembre, la società di servizi logistici tedesca ha dichiarato che specialisti di sicurezza esterni alla società erano impegnati nel ripristino delle operazioni, ma al momento non si era ancora in grado di confermare se fossero stati trapelati dati.

Proseguendo con il ripristino dell’operatività a partire da lunedì mattina, Hellmann ha riportato la maggior parte delle operazioni online, ma non funzionava ancora a pieno regime.

“Le operazioni commerciali sono in gran parte di nuovo in esecuzione e siamo fiduciosi di poter eliminare presto le restrizioni rimanenti per operare nuovamente a pieno regime”, aveva affermato la società in una nota del 13 dicembre. Fino ad arrivare all’aggiornamento di questa mattina (16 dicembre 2021) dalla quale si apprende l’esistenza del furto dei dati.

Data leak dei dati: anche password in chiaro

Il leak rivendicato contiene una grande mole di file liberamente scaricabili, di alta rilevanza per la sicurezza interna.

Da una prima analisi possiamo evidenziare la presenza di grosse quantità di file contenenti documentazione fiscale, conti economici, molti dati riconducibili all’amministrazione della società, ma anche dati tecnici rinvenienti (probabilmente) da gestionali interni alla società.

Dei file che destano maggiore curiosità di rileva un Excel in formato XLS contenete un grande numero di codici utente e password memorizzati in chiaro, ognuno del corrispettivo sito web per il quale la società era cliente/fornitore.

Questo aspetto apre la via alla problematica gestione delle password all’interno dei luoghi di lavoro, facendo diventare critiche le informazioni che questi accessi proteggono.

Un elenco di questo tipo, infatti, se esfiltrato (come in questo caso) rivela le credenziali di accesso a qualsiasi registrazione presso terzi che una società intrattiene, consentendone accessi non autorizzati incontrollabili se in mano di gruppi criminali.

La corposa esposizione di file è suddivisa in 146 archivi ZIP separati, uno dei quali è dedicato a fornire un elenco testuale (indice, file tree) di tutto il contenuto del leak.

Analizzando il file tree riscontriamo la presenza di circa 153 mila righe, ciascuna delle quali contiene appunto il percorso del file esfiltrato.

Per quanto riguarda le date intercettate dall’elenco, si è verificata la presenza di file almeno degli ultimi dieci anni, con una attualizzazione al mese di ottobre 2021.

Tra gli XLS relativi a incassi (fatture e ordini di pagamento), spicca la presenza di un pfizer.xls, per la quale sicuramente la società opera servizi di logistica.

Quale lezione impariamo

Questi dati spaventano sicuramente e il contenuto particolarmente sensibile del leak dovrebbe farci riflettere sul ruolo della cyber security in campo lavorativo (quando la vittima è un’azienda, soprattutto se gestisce un’infrastruttura critica) e in ambito privato (quando il dipendente svolge molte mansioni in smart working).

Questo ruolo è sempre più preponderante nelle nostre vite e non dobbiamo in alcun caso sottovalutarlo. Gli investimenti in sicurezza informatica da parte di aziende ed enti pubblici devono avere il loro posto equo in ogni bilancio, puntando maggiormente all’educazione del personale ad ogni livello della filiera.

Una lezione ancora più importante per le aziende, tenendo conto che solo nel mese di dicembre 2021 si contano 138 vittime di attacchi ransomware nel mondo. Per un totale di 26,3 milioni di dollari di richieste di riscatto. Per l’anno 2021, in testa a questa triste classifica troviamo il gruppo criminale Conti con 477 vittime e a seguire Lockbit2.0 con 457 attacchi portati a compimento.

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security
@RIPRODUZIONE RISERVATA

Articolo 1 di 5