Ransomware: altre due aziende in trappola

Come ogni settimana torniamo a raccontare un attacco ransomware andato a segno nei confronti di qualche illustre vittima. Nel caso odierno, in realtà, tratteremo di due casi distinti ma comunque molto in vista. Il primo di essi è Alia, gestore dei rifiuti del comune di Firenze e di altri 59 comuni in tutta la Toscana. Nei giorni scorsi infatti pare che il gruppo ransomware chiamato Conti si sia infiltrato, con modalità ancora misteriose, nei sistemi del gestore dei rifiuti prendendo in ostaggio i suoi dati.

Il sito di Alia risulta essere ancora inaccessibile al traffico e l’azienda sta comunicando via Twitter coi suoi utenti. Tramite questo canale, nella giornata di domenica ha annunciato ufficialmente l’attacco avvenuto e, successivamente, ha rasserenato tutti gli utenti dicendo che tutti i servizi, dalla raccolta rifiuti a domicilio e non alla pulizia strade, restano garantiti.

Alcune fonti raccontano di una richiesta di riscatto pervenuta via mail all’azienda toscana, scritta in italiano, nella quale si chiedono 400.000 euro in bitcoin per il rilascio dei dati. Il presidente di Alia, tuttavia, ha dichiarato che non intende pagare alcun riscatto. Al momento Alia fa sapere che il sistema di Backup era attivo e i dati sono stati salvati, ma che prima di rimettere tutto online devono chiaramente verificare la presenza di una falla a monte di tutto che vanificherebbe lo sforzo.

È assai probabile che questo attacco abbia fatto breccia nella modalità più classica, ovvero l’apertura di un allegato malevolo presente in una mail. Questo potrebbe essere successo anche a Clementoni, nota azienda di giochi per ragazzi, che è stata colpita dallo stesso gruppo Conti. Come per Alia, è stato chiesto un alto riscatto in bitcoin anche se per ora non si sa la cifra.

La cosa che incuriosisce è che l’attacco nei confronti di Clementoni è stato perpetrato proprio nelle ore successive a quello di Alia, segno che questo gruppo lavora su grandi numeri cercando vittime dal medio-alto fatturato. Nel caso di Clementoni, però, possiamo dire che la vicenda è andata un po’ diversamente poiché sebbene siano stati rubati 111 GB di dati non si sono registrati grossi disservizi. Chiaramente chi muove i fili del ransomware Conti vuole comunque tenere sotto scacco le aziende, per cui lo schema seguito è quello che in gergo si chiama Double Extortion. Ciò significa che non vengono solo rubati i dati ma viene anche minacciata la loro pubblicazione in caso di mancato pagamento. Mancano tuttavia ancora dettagli aggiuntivi per quel che riguarda l’attacco.

Gli attacchi di questo tipo rientrano in un pattern più volte segnalato dagli esperti di cybersecurity, che più volte si sono raccomandati di prestare maggiore attenzione e di utilizzare sistemi di sicurezza di alto livello. Questo perché in un contesto come quello natalizio sarebbe fortemente scomodo incappare in problematiche simili. Facendosi prendere dalla fretta e dal panico, le aziende sarebbero maggiormente propense a pagare il riscatto per i propri dati e questo è ciò che vogliono i cybercriminali.

 

Fonti: 1, 2