Dentro le patatine una volta c’era la sorpresina. Oggi, invece, c’è un ransomware.
Gli attacchi alle aziende continuano infatti a ripetersi e, dopo il noto attacco alla SIAE dei giorni scorsi, ora al centro dell’offensiva v’è la nota “San Carlo“. Secondo quanto appreso dall’agenzia AGI, il gruppo responsabile avrebbe già chiesto un riscatto che l’azienda ha immediatamente negato di voler pagare.
Ransomware, una minaccia nota e grave
Il tema Ransomware è noto e il tentativo è il solito: ci si intrufola riuscendo a far cadere nel tranello qualche dipendente, si accede alla rete dell’azienda, si vanno a nascondere i file dietro crittografia e si chiede un riscatto in cambio della liberazione dei dati. Qualora il riscatto non venga pagato, non solo i dati restano indisponibili, ma vengono anche pubblicati online con possibili problemi per privacy e progetti industriali.
In questo caso l’azienda delle patatine sembra avere chiaro in mente ciò che intende fare: i backup sono disponibili, il ripristino del sistema sarà meno oneroso di qualsiasi alternativa e non si cederà dunque al ricatto dei malintenzionati che hanno portato avanti l’offensiva. Resta il fatto che l’ennesimo grande marchio cade nella zona di rischio del ransomware, pericolo ormai costante e di grave impatto economico. Il problema è stato ormai affrontato anche ai massimi vertici politici, con il presidente USA che ha promesso una stretta e il fermo della rete REvil che ha fatto intendere quale sia il livello di sofisticazione raggiunto anche dagli inquirenti.
La “ransomware gang” Conti, i presunti autori dell’attacco a San Carlo, è nota per l’utilizzo del ransomware “a doppia estorsione”. Ciò significa che non solo crittografano i file e tengono in ostaggio i sistemi, ma rubano anche informazioni da vendere sul Dark Web, che poi possono essere utilizzate in attacchi secondari di spear-phishing o per ricattare la vittima. Stiamo assistendo sempre più spesso all’utilizzo di questa tipologia di attacco ai danni di obiettivi di valore molto elevato, sia che si tratti di infrastrutture critiche sia di grandi brand molto noti. Allo stesso tempo, abbiamo notato come gli hacker tendono a prendere di mira in modo sempre più sofisticato le organizzazioni della catena di approvvigionamento alimentare, come JBS in Nord America, Tesco nel Regno Unito e oltre 500 filiali di Coop in Svezia, che sono state costrette a interrompere le proprie attività a causa di attacchi ransomware.
Per aziende come San Carlo, che dispongono di backup, garantire un ritorno rapido alla normalità può comunque rappresentare una sfida, soprattutto se gli aggressori sono rimasti ancora in agguato all’interno dei loro sistemi. La realtà è che non possiamo più accettare che il settore pubblico e privato italiano siano tenuti in ostaggio da criminali e ora abbiamo a disposizione un’intelligenza artificiale in grado di fermare gli attacchi prima che le aziende si trovino a dover discutere se pagare o meno un riscatto e prima che i loro dati critici vengano rubati.
È proprio questa tecnologia ad essersi dimostrata recentemente in grado di rilevare le prime fasi di un ransomware Conti operativo in un’azienda di trasporti negli Stati Uniti, intercettando anche l’attività di ricognizione, il movimento “Command and Control” e i primi segni di esfiltrazione dei dati.
Mariana Pereira, Director of Email Security Products di Darktrace