Dettaglio news
Un attacco Ransomware è da considerarsi anche un databreach: l'esempio dell'attacco a Luxottica


giovedì 12 novembre 2020
di s-mart.biz



Luxottica, forse, non ha bisogno di presentazioni: possiede brand molto noti come Oakley, Ferrari, Bulgari, Chanel ma anche LensCrafter, TargetOptical, EyeMed e altri brand specializzati nella cura degli occhi. Qualche dato: l'azienda italiana conta oltre 80.000 dipendenti e genera 9.4 miliardi di euro in profitti ogni anno.

La rete aziendale ha subito un attacco ransomware a metà Settembre di quest'anno: attacco che ha comportato il down di alcuni portali e siti web collegati all'azienda e perfino il blocco della produzione e della logistica negli stabilimenti di Agordo e Sedico, nel quartier generale bellunese dell'azienda. La conferma dell'attacco è avvenuta poi Martedì 22 Novembre, con rassicurazione però a clienti e fornitori: nessun dato risultava rubato.

Eppure, poco meno di un mese dopo, emergono dettagli molto preoccupanti: a metà Ottobre il ricercatore di cybersicurezza italiano Odisseus ha dato notizia, dal proprio profilo twitter, di aver trovato online nel dark web una luna lista di file tutti appartenenti a Luxottica e fatti traperlare dalla gang ransomare Nefilim.

I dati pubblicati riferiscono a due dipartimenti specifici: l'Ufficio del Personale e quello della Finanza. Tra i dati pubblicati si trovano dati sensibili e personali come informazioni riguardo a profili dei dipendenti e dei candidati poer l'assunzione, informazioni sulla strutturazione interna delle risorse umane, proiezioni di mercato, stime di crescita, budget e così via.

Il rinvenimento di questi dati nel dark web ha confermato ben due questioni ancora poco chiare: se gli attaccanti fossero riusciti o meno a rubare i dati prima di tentare di criptare tutta la rete aziendale e se Luxottica avesse o meno avviato trattative. I dati rubati ci sono e sono online, mentre la loro pubblicazione conferma (verosimilmente) che Luxottica non ha avviato alcuna trattativa con gli attaccanti oppure ha deciso di non pagare il riscatto.

Non solo dati finanziari e dell'uficio del personale: rubati dati sanitari
Qualche giorno fa è arrivata una ulteriore conferma, ovvero l'esposizione di dati sensibili di tipo sanitario per i pazienti di LensCrafters, Target Optical, EyeMed: Luxottica infatti gestisce anche la società EyeMed che collabora, nei propri punti vendita, con ottici professionisti collegati alle aziende sopra menzionate. Questi partner hanno tutti accesso ad un'applicazione web based per pianificare gli appuntamenti online e via telefono.

Così Luxottica si è trovata, a distanza di oltre un mese dall'attacco, a dover inviare notifiche di violazione a tutti coloro che sono stati riguardati dal breach, informando che potrebbero essere stati vilolati dati come nome completo, informazioni di contatto, date e orari di appuntamenti, numeri di polizze assicurative, prescrizioni, condizioni di salute e così via. Luxottica si è anche offerta, come è ormai consuentudine dopo certi tipi di attacchi, di offrire ai clienti riguardati dall'incidente per due anni, a titolo gratuito, un servizio di monitoraggio di eventuali furti d'identità.

"Consigliamo a tutte le persone potenzialmente interessate di prendere provvedimenti per proteggersi, ad esempio monitorando attentamente le comunicazioni dell'assicurazione sanitaria e degli operatori sanitari per eventuali attività impreviste" ha scritto Luxottica, che ha anche creato un sito web specifico per la gestione di questo data breach.

Tutto ciò a ribadire quanto un attacco ransomware non possa considerarsi soltanto un alle infrastrutture aziendali, ma prima di tutto un attacco ai dati sensibili (di clienti, di partner, di collaboratori, di dipendenti ecc..). E' comune per le aziende colpite da ransomware rassicurare i clienti con frasi del tipo "non risultano utilizzi fraudolenti o illeciti dei dati", ma la realtà dei fatti è che le aziende vittime di attacco non possono saperlo, fino a che questi dati non vengono pubblicati a piccole dosi in forma di ricatto o messi direttamente in vendita nel dark web a scopo di profitto. Anzi, l'evoluzione del mondo dei ransomware rafforza il punto: sempre più ransomware (anche in collaborazione con malware come TrickBot o Emotet) mirano ai dati presenti in rete PRIMA della criptazione, garantendosi così molti dati sensibli, uno strumento di ricatto ulteriore ed una eventuale fonte di profitto in caso di rivendita di identità digitali. 




CONDIVIDI QUESTA PAGINA!