Una nuova gang del ransomware
Adesso se col link giusto ci si immerge nelle profondità del Dark Web, a proposito del furto dei dati della SIAE sul loro sito si legge: “Questi sono i dati dei clienti, i documenti finanziari e altri documenti molto importanti. Un numero enorme di passaporti, patenti di guida, documenti di pagamento, conti bancari, carte di credito e altri dati utente. Mentre l’azienda decide di riacquistare o meno i dati studiamo la domanda che c’è su questi dati. Contattateci”. E poco sotto compare il nome del direttore generale Siae e il numero di telefono della società di Viale della Letteratura, 30 a Roma.
Insomma, il solito modus operandi che abbiamo imparato a conoscere in questa lunga epidemia di ransomware che ha colpito l’Italia e che i delinquenti di Everest hanno replicato con diverse aziende da loro attaccate nel settore dell’acciaio e degli imballaggi, in Irlanda e Germania, dell’energia in Spagna, ma di cui forniscono prove poche o nulle come nel caso dei dati del governo americano che dicono di essere pronti a fornire su trattativa privata.
La Siae comunque ha confermato l’attacco e aggiunto che il riscatto ammonterebbe a 3 milioni di euro in Bitcoin. Per bocca del suo direttore generale, Gaetano Blandini, ha fatto sapere che non darà seguito ad alcuna richiesta di riscatto, affermando che “abbiamo già provveduto a fare la denuncia alla polizia Postale e al Garante della Privacy, come da prassi. Verranno poi puntualmente informati tutti gli autori che sono stati soggetti di attacco. Monitoreremo costantemente l’andamento della situazione cercando di mettere in sicurezza i dati degli iscritti della Siae”.
Una caratteristica che contraddistingue il gruppo è l’attenzione che pone nel mantenere alti i livelli di pressione sulla vittima durante le negoziazioni, del tipo “chissà cosa ne penseranno i tuoi clienti”, ci dice il ricercatore di sicurezza informatica Emanuele De Lucia. Secondo uno studio realizzato in aprile dalla sua società, Cluster25, il gruppo nel passato aveva attaccato soggetti di alto profilo, catene di vendita al dettaglio, studi legali, aeroporti e un grande istituto finanziario. È un gruppo finanziariamente motivato ma “opportunista”, significa che anche se attaccano realtà da molti milioni di dollari (la strategia BGH, Big Game Hunting o “caccia grossa”), fra le vittime sono tate osservate anche realtà poco conformi ai soliti schemi e presi di mira semplicemente perché la loro sicurezza informatica era particolarmente scadente. Per 3 giorni
Server presi a calci e cyberattacchi, così il sito della Cgil è andato giù
di Arturo Di Corinto 12 Ottobre 2021
Cosa può succedere coi dati Siae
Adesso se è vero che i dati sono stati solo esfiltrati, come di dice in gergo, e non sono stati chiusi dietro un lucchetto, e il riscatto non verrà pagato, nel giro di una settimana, usualmente, quello che ci si può aspettare è una serie di attacchi mirati ai singoli associati Siae di cui i criminali potrebbero conoscere email, residenza e altri dati da cui risalire a ulteriori elementi anagrafici e biografici per eseguire truffe o azioni di impersonification (sostituzione di persona) usando tecniche di social engineering, ingegneria sociale. Uno scenario coerente col fatto che il gruppo fa leva sul danno reputazionale potenziale per la società e sulla pressione indiretta che possono fargli gli associati i cui dati sono stati coinvolti nel dataleak.
Laura Liguori, Partner dello studio legale Portolano Cavallo, e Giulio Novellini, Counsel, commentano: “Queste tipologie di attacco ci dimostrano che i dati personali hanno sempre di più un valore economico. In realtà lo hanno sempre avuto, ma solo recentemente si sta avendo sempre più contezza di quanto l’informazione personale possa considerarsi come asset strategico. Invero, una volta sottratte, le informazioni personali possono essere cedute (o meglio vendute) a terzi che possono utilizzarle per le più svariate finalità, per lo più illecite: dal furto della cosiddetta identità digitale, alle truffe on-line, all’esecuzione di acquisti non autorizzati.”
Ma Blandini probabilmente fa bene a non cedere: “La Siae è depositario di dati potenzialmente molto interessanti per un eventuale malintenzionato. Purtroppo, una volta prelevati, risulta impossibile limitarne la diffusione ed il pagamento del riscatto non garantirebbe nulla in tal senso”, aggiunge De Lucia.
Già nei mesi scorsi si erano intensificati gli attacchi di phishing e spear phishing (furto mirato di credenziali) a danno della società che tutela attori, cantanti e creativi tanto da indurre la Siae ad avvertirli di non cliccare su false comunicazioni apparentemente da loro provenienti. La società era stata vittima di un attacco già nel 2018 da parte degli hacker attivisti di AnonPlus che sfruttando pare una falla del content management system della Siae, Drupal.
La precedente versione del software usato per i loro attacchi mirati a cifrare i dati degli utenti e a chiedere un riscatto era stata decodificata dagli esperti di cybersecurity Michael Gillespie e Maxime Meignan che avevano messo a punto un decryptor noto come Everbe Ransomware. Ma, come dice il rapporto di Cluster25, “Everest contribuisce ad una sempre crescente tendenza del panorama ransomware che tende a coinvolgere quanti più soggetti possibile nelle operazioni ransomware mediante modelli Ransomware-as-a-Service (RaaS) facendo leva sui ritorni di investimento derivanti da campagne di successo. In considerazione di fattori come la facilità di utilizzo e di accesso a tali programmi nonché il numero sempre crescente di partecipanti è possibile prevedere in futuro una crescita dei rischi generali associati a tale categoria di malware”.
Traduciamo per i lettori: Everest cerca affiliati, gente pronta a rivendere quei dati e ad usare il loro malware per nuovi attacchi.