Ransomware e Data breach: non c'è pace per l'Italia. Pubblicati parte dei dati rubati a Ferrari e GSE nel mese di Settembre 

RansomEXX "buca" la Ferrari: già pubblicati 7 GB di dati

I dati mostrano un rallentamento degli attacchi ransomware contro aziende italiane. I report dello scorso mese ci vedono scendere dal primo al settim0 posto nella classifica dei paesi europei più colpiti da attacchi ransomware. Ciò non toglie che i ransomware restano una delle principali cyber minacce contro le aziende italiane. Anche aziende di peso.

Ha fatto, non a caso, molto scalpore la notizia dell'attacco ransomware che ha colpito (con successo) la Ferrari. La redazione di Red Hot Cyber ha riportato che il 2 Ottobre il gruppo ransomware RansomEXX ha rivendicato, con un post sul proprio leak site, di aver bucato la Ferrari. Stando alle dichiarazioni del gruppo, tra i dati sottratti ci sarebbero schede tecniche, manuali di riparazione, documenti tecnici.

A riprova dell'effettivo successo dell'attacco e del data breach, gli attaccanti hanno messo a disposizione gratuitamente ben 7 GB di dati.

E' doveroso sottolineare che la Ferrari ha negato di aver riscontrato evidenze di attacchi ransomware o violazioni, di qualsiasi tipologia, dei propri sistemi e non ha subito interruzioni della produzione. I 7 GB di dati però esistono e contengono anche documenti riservati, se pur alcuni piuttosto datati (2005). E' plausibile quindi pensare che non sia stata attaccata direttamente la Ferrari, ma qualche partner / terza parte della supply chain.

Non sarebbe la prima volta: già nel 2021, a seguito di attacco della cyber gang Everest contro un'azienda fornitrice di grosse case automobilistiche, erano trapelati dati riservati appartenenti a Ferrari, Lamborghini, Fiat, Brembo ecc…

Il Ransomware BlackCat e il data breach di GSE

Nel corso della prima settimana di Settembre un'ondata di attacchi ransomware ha colpito il sistema energetico italiano. In pochi giorni l'allarme cyber è suonato per ENI, Canarbino e GSE.

Per saperne di più > Infrastrutture energetiche italiane sotto attacco ransomware: GSE, Eni e Canarbino colpite in pochi giorni

GSE, già il 2 Settembre, comunicava che gli attaccanti hanno colpito

• la rete;
• i client;
• l'infrastruttura degli applicativi;
• i file server;
• i sistemi di posta elettronica.

Ne conseguì la necessità di isolare tutti i sistemi, sospendere i servizi, disattivare le postazioni di lavoro ecc…

Ora i dati sono online. Il team di cyber intelligence ThinOpen ha riscontrato che complessivamente, in vari archivi, sono trapelati ben 28 GB di informazioni riconducibili a GSE.

Ransomware e Data breach: la coppia perfetta

Torniamo quindi a parlare di rischi informatici come data breach e ransowmare. I ransowmare sono malware che, una volta infiltrati in una rete aziendale, criptano i dati presenti sulle macchine collegate nella rete. Una volta che un dato è criptato diviene inaccessibile al proprietario e l’unica soluzione è detenere la chiave di decriptazione per riportarlo in chiaro. Di per sé la criptazione non è uno strumento offensivo, anzi. Nasce in realtà come tecnica di protezione della confidenzialità delle informazioni ed è una misura tecnico organizzativa perfettamente conforme al GDPR.

Nel caso di un attacco ransomware, la criptazione serve a costruire un meccanismo ricattatorio verso la vittima. “Se vuoi riavere accesso ai tuoi file, se vuoi ottenere la chiave di decriptazione, paga un riscatto”: la filosofia di fondo del ransomware è questa. Da qualche anno però il mondo dei ransomware si è evoluto, avviando la stagione della “doppia estorsione”. Oltre alla criptazione dei dati, gli attaccanti hanno iniziato anche a rubare e rendere pubblici dati confidenziali.

Per saperne di più > Furto dati personali e cyber attacchi: periodo nero per l’Italia

Ogni attacco ransomware va considerato un data breach

Le recenti vicende confermano una tendenza già in atto e della quale è necessario ormai prendere consapevolezza: un attacco ransomware non rappresenta più soltanto un tentativo di estorsione, ma, nei fatti è anche un data breach, dato che gli attaccanti hanno reso sistematico il furto dati prima di avviare la routine di criptazione. Da questo punto di vista quindi, almeno per quanto riguarda l’Unione Europea, ogni attacco ransomware va segnalato all’Authority di protezione nazionale dei dati, poiché è da ritenersi altamente probabile il furto di dati sensibili. Il miglior approccio sarebbe quindi quello della trasparenza, non tanto e non solo per l’obbligo legale, ma anche per consentire a dipendenti, utenti e clienti di prendere adeguate contromisure di protezione.