Un nuovo attacco ransomware è andato a segno, questa volta a scapito dell’Associazione Bancaria Italiana (ABI) che si è vista sottrarre dati dei proprio dipendenti oltre ad avere inibiti gli accessi ai propri sistemi. Sembra che il ransomware stia diventando lo standard, de facto, per gli attacchi sul web. La catena di approvvigionamento dei Ransomware-as-a-Service (RaaS) è ormai estremamente diffusa, i prodotti malevoli costano poco, i danni inflitti sono enormi e spesso è facile guadagnarci. Purtroppo, siamo ancora in un periodo storico in cui il dualismo economico attacco-difesa è opposto al mondo reale. Infatti, difendersi è estremamente costoso mentre attaccare sta diventando sempre più facile e poco dispendioso.
Le prime ricostruzioni parlano di attacchi diffusi da parecchi mesi e originati a febbraio. Molti di questi probabilmente erano stati circoscritti a solo qualche malfunzionamento. Tuttavia, con il tempo sembrano essersi intensificati con temporanee indisponibilità del portale dell’Associazione (l’ultimo lo scorso 7 Aprile). Questa settimana, infine, l’attacco più importante tramite un ransomware e l’esfiltrazione delle informazioni personali dei dipendenti nel darkweb.
Secondo quanto trapelato in rete i dati contengono informazioni finanziarie sensibili e immagine di numeri di carte di credito, certificati medici. Inoltre, sono disponibile anche informazioni riservate sull’associazione come documenti di budget e dati dei dispositivi usati dai dipendenti. Il sito risulta al momento attuale nuovamente raggiungibile, anche se permangono alcuni rallentamenti.
L’Associazione ha rilasciato una nota stampa in cui comunica:
L’Associazione bancaria italiana informa che, da febbraio, è destinataria di attacchi informatici. Sono state presentate le denunce alla Polizia postale e alle Autorità competenti. L’Associazione ha già attivato tutte le azioni a propria tutela e di quella dei dati del personale e adottate tutte le misure per la messa in ulteriore sicurezza delle infrastrutture e dei dati.
Nota stampa, ABI
Sul web si parla del coinvolgimento del gruppo cybercriminale Vice Society: pur essendo relativamente giovane (è emerso a metà 2021) nel panorama degli attacchi ransomware, ha un’organizzazione estremamente avanzata. Il gruppo si è concentrato essenzialmente contro imprese e istituzioni di media grandezza predisponendo un attacco a doppio riscatto.
Infatti, dapprima attaccano le macchine (sia Windows che Linux) cifrando i dischi ed eliminando i backup laddove possibile. Chiedono, quindi, il riscatto per la decifratura dei dati in ostaggio e un ulteriore riscatto sotto la minaccia di pubblicare in rete le informazioni sensibili. A tal proposito Vice Society ha anche predisposto un sito pubblico in cui vengono mostrate le informazioni delle società che hanno deciso di non pagare il riscatto.
Come accennato all’inizio il lavoro degli anni a venire è cercare di fornire strumenti di difesa validi che abbiano costi più bassi. È necessario ribaltare la posizione svantaggiata delle aziende: deve diventare troppo costoso riuscire a mettere a segno un attacco. Come sempre, in queste situazioni, il consiglio è di prestare la massima attenzione a ciò che viene scaricato dal web, oltre che alle e-mail dai contenuti strani o sgrammaticate. Sembrano consigli ripetitivi ma l’essere umano resta il punto d’accesso ai sistemi operativi aziendali e non si è mai abbastanza preparati per far fronte a tecniche sempre più sofisticate.