Il 2020 è terminato da poco portandosi dietro una lunga serie di innovazioni e novità nelle pratiche di utilizzo della rete e degli strumenti tecnologici. Il boom dello Smart Working e le misure per il contenimento della pandemia hanno spinto l’utilizzo del digitale a livelli mai raggiunti. Conseguentemente, è aumentato anche il numero e la pericolosità degli attacchi hacker.
In questo articolo vediamo, in ordine cronologico, i 10 attacchi più importanti avvenuti durante il 2020.
Toll Group
La società di logistica australiana rientra di diritto nella lista dei peggiori attacchi subiti nel 2020. In soli tre mesi, infatti, è stata vittima di due diversi attacchi Ransomware che hanno avuto come effetto la chiusura forzata di diversi servizi online ed applicazioni in via precauzionale. Stando a ciò che ha dichiarato l’azienda, uno dei due attacchi è stato perpetrato veicolando una nuova variante di Ransomware chiamata Nefilim.
Marriott
La nota catena di alberghi figura nella lista a causa del secondo Data Breach subito in pochi anni. A fine marzo 2020, l’azienda ha dichiarato che a partire da gennaio sono state rubati i dati di oltre 5 milioni di clienti, una quantità preoccupante ma meno grave degli oltre 500 milioni di account rubati nel novembre 2018.
Marriot International ha anche reso noto che il tutto è cominciato dopo il furto delle credenziali di login di due dipendenti di una società affiliata. Tuttavia, è stato dichiarato anche che non c’è motivo di credere che siano stati rubati dati finanziari e anagrafici ma soltanto i conti fedeltà dei clienti ed i dettagli di contatto ad esclusione delle password.
Magellan
L’azienda americana, operante nel settore delle assicurazioni sanitarie, nel maggio 2020 ha dichiarato pubblicamente di essere rimasta vittima di un attacco Ransomware. Gli hacker sono riusciti a trafugare credenziali di login ed informazioni fiscali e personali. Il furto ha riguardato oltre trecentomila pazienti di otto filiali ed è stato perpetrato tramite l’invio di mail fraudolente da parte dell’attaccante, che si è finto un cliente Magellan.
L’attacco, trattato anche su questo blog (qui il link), è stato forse il più grave dell’era dei social network. Nel luglio 2020, dopo che sono state rubate le credenziali di alcuni dipendenti, gli hacker sono riusciti a prendere possesso dei profili di vari personaggi famosi come Barack Obama e Jeff Bezos.
I tweet che sono stati pubblicati contenevano un link che portava ad una truffa sui Bitcoin. L’ideatore della truffa, un diciassettenne, è riuscito ad ottenere oltre centomila dollari prima di essere scoperto e sottoposto a processo (ancora in corso).
Garmin
Nel luglio del 2020, l’azienda leader nel settore dei dispositivi di localizzazione ha dovuto bloccare tutti i suoi servizi online compresa l’assistenza ed il sito web. Tutto è accaduto a causa di un attacco Ransomware che ha crittografato i sistemi ottenendo anche gli accessi degli amministratori dei servizi online.
In un comunicato, l’azienda ha specificato che non è stato rubato nessun dato dei clienti, senza però aggiungere le modalità di “liberazione” dei sistemi. Pare però che il riscatto pagato per far tornare tutto alla normalità ammonti a ben dieci milioni di dollari.
Distretto Scolastico della Contea di Clark (CCSD)
Il 27 agosto, la contea di Clark ha dichiarato di aver subito il furto dei dati di tutti i suoi studenti. Pare che all’origine di tutto ci sia un attacco Ransomware avvenuto nel luglio 2020 per il quale il distretto scolastico ha rifiutato di pagare il riscatto. Nei mesi successivi, per far capire che facevano sul serio, gli hacker hanno inviato note contenenti i dati trafugati.
Nell’ultimo aggiornamento sulla vicenda, il distretto non ha comunque fatto menzione della cifra richiesta dagli attaccanti né sulle misure prese per rimediare all’accaduto.
Software AG
Ad inizio ottobre 2020, l’azienda tedesca di sviluppo software ha dovuto fronteggiare una delle minacce più importanti dello scorso anno: l’attacco a doppia estorsione (double extortion attack). Dopo la criptazione dei dati ad opera del ransomware Clop, che ha provocato una chiusura forzata di tutti i sistemi, la società ha subito anche il furto di tutti i dati.
Gli hacker hanno poi formalizzato all’azienda una richiesta di riscatto pari a venti milioni di dollari, che quest’ultima ha declinato innescando la pubblicazione dei dati rubati. Tra le informazioni rese pubbliche figuravano i documenti d’identità dei dipendenti, le informazioni finanziarie e tutti gli account email aziendali.
Centro di Psicoterapia Vastaamo (Finlandia)
Uno dei più grandi centri di psicoterapia della Finlandia ha dichiarato di aver subito un importante data breach negli ultimi giorni di ottobre del 2020. La particolarità dell’attacco, che ha riguardato i dati dei pazienti in cura, è stata la perpetrazione di minacce direttamente alle vittime anziché alla società.
Data la gravità della situazione, in questo caso si sono attivate direttamente le più alte cariche pubbliche tra cui il Ministero degli Interni, che ha convocato riunioni di urgenza organizzando anche servizi di consulenza alle vittime.
FireEye
FireEye, società americana che si occupa di cybersecurity, ha notificato ad inizio dicembre il furto degli strumenti per l’effettuazione dei penetration test. Questo furto potrebbe avere conseguenze molto importanti, visto il grande numero di clienti dell’azienda in tutto il mondo.
I responsabili sarebbero gli hacker russi facenti parte del noto gruppo APT29 CozyBear e, anche se non è stata notificata alcun furto di dati, il loro obiettivo sembrano essere alcune agenzie governative.
Sembra che, ad oggi, non sia stato segnalato alcun attacco perpetrato utilizzando gli strumenti rubati, ma l’FBI sta ancora indagando e, nel frattempo, sono stati già resi disponibili su GitHub dei tool che identificano e bloccano l’utilizzo degli applicativi in questione.
SolarWinds
Se l’attacco a FireEye è preoccupante, lo è maggiormente quello a SolarWinds, nota per essere la più importante azienda di sicurezza al mondo, potendo vantare tra i suoi clienti anche l’Ufficio di Presidenza degli Stati Uniti e la “nostra” Telecom Italia.
A fine dicembre 2020 infatti è stato reso noto lo sfruttamento, durato per mesi, di una vulnerabilità della piattaforma Orion.
L’attacco sembra partire sempre dal gruppo APT29 CozyBear ed è collegato al furto subito da FireEye (vedi paragrafo precedente). L’obiettivo è sicuramente quello di spiare aziende ed organismi politici di tutto il mondo, tra i quali figurano i dipartimenti di sicurezza statunitensi, il Parlamento UE ed AstraZeneca, attualmente impegnata nella distribuzione del vaccino contro il Covid-19.
Le versioni di Orion interessate da questa vulnerabilità sono quelle rilasciate tra marzo, mese di inizio dell’attacco, e giugno 2020. La vera diffusione dell’attacco, però, non è ancora del tutto nota.
Sicuramente, SolarWinds sta pagando a caro prezzo la sua distrazione, che ha fatto andare in picchiata il prezzo dei titoli in borsa ed ha innescato anche una class action da parte dei clienti.