Il crimine informatico e il brutto 2022 che ci aspetta
di Arturo Di Corinto 12 Dicembre 2021
Era il primo gennaio quando ThalesGroup è apparsa nell’elenco delle società vittime di intrusione sul sito della gang del ransomware LockBit 2.0. Una gang famigerata perché autrice di numerosi attacchi a target italiani dall’estate del 2021 e tristemente nota perché ogni volta che ha minacciato la pubblicazione di file e documenti lo ha sempre fatto.
In riferimento all’articolo pubblicato da Italian Tech il 4 gennaio 2022 in cui anticipavamo la notizia l’ufficio stampa di Thales ci aveva scritto: “Siamo a conoscenza di un’affermazione di attacco ransomware LockBit che prende di mira dati potenzialmente appartenenti a Thales Group. Nonostante non abbiamo ricevuto alcuna notifica di riscatto diretta, stiamo prendendo sul serio questa affermazione ancora infondata, qualunque sia la sua fonte, e un team dedicato di esperti di sicurezza sta attualmente indagando sulla situazione. In questa fase non ci sono prove materiali di questo attacco, tuttavia continuiamo ad analizzare, poiché la sicurezza dei nostri dati rimane una priorità chiave”.
In attesa di ulteriori informazioni sull’attività di intelligence di Thales abbiamo anche provato a contattare LockBit senza successo. Ma è proprio di questi giorni fa la notizia che i delinquenti hanno pubblicato sul loro blog nel dark web i dati rubati a Bricofer e alla Asl Euganea di Padova, e nel loro carniere ci sono altre realtà grandi e piccole come Accenture, Erg, Acquazzurra Firenze, GiCinque Srl, Officine Lozza e altri.
Stavolta però la preda è grossa. Thales è un gruppo internazionale specializzato nell’aerospaziale, nella difesa, nella sicurezza e nel trasporto terrestre che ha fatturato 17 miliardi di euro nel 2020 e opera in Italia attraverso Thales Alenia Space, una joint venture tra Thales (67%) e Leonardo/Finmeccanica (33%), che conta circa 2300 addetti e quattro siti, a Roma, Torino, L’Aquila e Milano. Thales Alenia Space ha appena ricevuto da Intelsat la commissione per costruire due nuovi satelliti, Intelsat 41e Intelsat 44, per un valore compreso tra 200 e 300 milioni di euro.
Secondo l’ingegner Emanuele de Lucia, “da analisi preliminari sembra che i dati rilasciati dal gruppo LockBit facciano riferimento a progetti presenti in GitHub. Fra questi è presente almeno un progetto relativo a una piattaforma utilizzata per la gestione delle operazioni spaziali, sviluppata ed implementata per rappresentare le informazioni ottenute dalla propagazione orbitale trasmessa dai satelliti nello spazio. I repository sembrano appartenere a progetti conclusi e già pienamente in operazione. I progetti appaiono chiaramente esporre della proprietà intellettuale per quanto riguarda lo stack di tecnologie utilizzate per l’applicazione e la gestione delle comunicazioni satellitari”.
Ma come fate a saperlo? Chiediamo a De Lucia che ci dice: “Quando sono annunciate vittime di rilievo, come in questo caso, è prassi delle società che si occupano di cyber intelligence di eseguire degli accertamenti mirati volti a valutare il rischio cyber dell’azienda colpita per di ottenere un ventaglio di informazioni sul quale validare o smentire quanto asserito dai criminali e valutare o meno come veritiero un potenziale scenario di intrusione”.
Il gruppo di cui fa parte De Lucia, Cluster 25, Cyber Intelligence Research Unit di DuskRise, specializzata nelle analisi sulle cyber-minacce, ha prodotto un rapporto interno che però non è ancora pubblico e “può solo essere utilizzato per l’estrazione di contenuti parziali e non nella sua integrità”. Nel rapporto, che abbiamo potuto leggere, si parla di un importante furto di proprietà intellettuale.
Secondo alcune fonti il riscatto richiesto sarebbe stato di 1 milione di dollari, che per una realtà delle dimensioni di Thales sembra essere una cifra modesta. Secondo il professore dell’Università di Bologna Michele Colajanni, quando questo accade “può dipendere da due motivi: gli affiliati che gestiscono le trattative sono poco esperti oppure le informazioni rubate non sono così importanti”.
In ogni caso non sappiamo ancora come sarebbe successo. Per De Lucia “è difficile ricostruire con certezza quale vulnerabilità gli attaccanti abbiano sfruttato esclusivamente sulla base di visibilità esterna al perimento colpito come nel nostro caso”. Tuttavia LockBit è un gruppo molto ben radicato nell’underground digitale e la gran parte delle sue operazioni vede lo sfruttamento di dati e credenziali di autenticazione fornitegli da “operatori Iab” (gli Initial Access Broker). Tali operatori solitamente acquisiscono queste informazioni a partire da infezioni botnet (Zloader, TrickBot, RedLine) per poi inoltrarle, dietro pagamento, agli affiliati dei diversi gruppi ransomware.
LockBit infatti è un’organizzazione criminale che prospera con la tecnica del RaaS, il Ransomware as a Service, cioè affittando il ransomware, il malware che copia, esporta i dati oggetto del furto e poi li chiude dietro a un lucchetto rendendo impossibile al legittimo titolare di usarli fino al pagamento di un riscatto. Gli affiliati al programma condiviso di gestione del software malevolo pagano una percentuale agli sviluppatori e manutentori del software e lo usano come se fosse il loro. Il riscatto non arriva sempre, però. Nel caso di LockBit sono infatti numerose le aziende che decidono di non pagare per vari motivi, sia di carattere etico che pratico, soprattutto se sono in possesso di una copia dei dati cifrati che la realtà colpita può recuperare per proseguire le sue attività. Cybersecurity
Ricatti informatici, il 2021 è un anno da dimenticare
di Arturo Di Corinto 04 Gennaio 2022
Luca Mella, analista esperto di ransomware ci ricorda che negli ultimi mesi gli attacchi informatici verso aziende del settore Difesa e Aerospazio sono stati frequenti, sia negli Usa che in Brasile, Canada, Belgio, Israele e India e che dietro questi attacchi “è possibile ipotizzare una regia di fondo dell’intelligence russa, anche se l’attribuzione rimane, come sempre, molto difficile – e aggiunge – ma è possibile che i dati trafugati provengano dalla compromissione di un fornitore nella supply chain del software con accesso ai progetti di sviluppo”.
Per De Lucia quanto accaduto è motivo di preoccupazione: “La perdita di proprietà intellettuale e dati di progetto relativi ad una realtà come Thales è sicuramente qualcosa da prendere molto sul serio. Essa opera in settori molto critici e fra i suoi clienti annovera istituzioni nazionali ed internazionali. Sicuramente è da considerarsi una realtà molto sensibile per i Paesi nei quali opera.” Anche l’Italia, quindi.
La posizione di Thales
Riceviamo e pubblichiamo: “Come da conto alla rovescia di Lockbit, ieri i 1320 file rubati sono stati rilasciati sul loro sito web. Dopo un’analisi preliminare, Thales è prontamente riuscita a identificare la maggior parte dei file rubati che sembrano essere stati copiati da un server code repository, che ospita dati con un basso livello di sensibilità e che è al di fuori dei principali Sistemi Informativi di Thales Group. Essendo la protezione dei dati dei nostri clienti la nostra priorità chiave, ci stiamo mettendo in contatto con le parti interessate per discutere e per informare ciascuna di loro delle azioni correttive previste”.
