Il gruppo ransomware Everest annuncia di aver sottratto 60 GB dai sistemi di Siae e chiede il pagamento di un riscatto di ben 3 milioni di euro in Bitcoin.
La notizia sta monopolizzando il web e le varie testate giornalistiche rilanciano lo stesso comunicato, la SIAE (Società italiana degli autori ed editori) è l’ultima vittima di un attacco ransomware.
L’azienda è stata colpita da un gruppo criminale noto come Everest, lo stesso che nelle scorse settimane reclamava un attacco contro alcune strutture del governo americano e conseguente violazione di dati.
Cerchiamo di riassumere quanto accaduto nel caso dell’attacco a SIAE. Il gruppo ransomware Everest, così come molti altri gruppi, implementa un doppio modello di estorsione, ovvero non si limita a cifrare i dati dell’infrastruttura presa di mira, ma li ruba.
Il furto viene consumato con l’intento specifico di pubblicare i dati qualora le vittime decidessero di non pagare e ripristinare le informazioni dai backup.
Dove sono pubblicati i dati in caso di mancato pagamento del riscatto?
Il gruppo, come altri, gestisce un proprio sito web pubblicato sulla rete Tor, la scelta è ovviamente volta a garantire l’anonimato delle sue operazioni. Su questa tipologia di siti, noti come leak site, sono pubblicati gli annunci degli attacchi cui dapprima segue la pubblicazione di alcuni dei dati rubati, ed in caso di mancato pagamento del riscatto, l’intero set di informazioni esfiltrato dalle vittime.
Una rapida occhiata al leak site di Everest può fornirci interessanti informazioni circa l’accaduto.
Innanzitutto, la presenza di SIAE nell’elenco delle vittime, cui segue l’annuncio della disponibilità di ben 60GB di dati presumibilmente rubati dai suoi sistemi.
Secondo una dichiarazione del DG di SIAE Gaetano Blandini raccolta dal Sole24Ore, il gruppo criminale ha chiesto un riscatto di 3 milioni di euro in Bitcoin, una richiesta in linea con quella di altri attacchi resi noti.
Sempre secondo Blandini, i criminali hanno sottratto circa 28 mila documenti.
“La Siae non darà seguito alla richiesta di riscatto” ha dichiarato Blandini “Abbiamo già  provveduto a fare la denuncia alla polizia postale e al garante della privacy come da prassi. Verranno poi puntualmente informati tutti gli autori che sono stati soggetti di attacco. Monitoreremo costantemente l’andamento della situazione cercando di mettere in sicurezza i dati degli iscritti della Siae”.
Immediate sono scattate le indagini della Polizia postale che vedono il coinvolgimento del compartimento di Roma del Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche).
60 GB non son pochi e probabilmente gli attaccanti hanno agito indisturbati per un certo lasso di tempo senza che i sistemi a difesa dell’organizzazione si accorgessero dell’enorme mole di dati che veniva portata fuori.
Il gruppo ha poi pubblicato una serie di immagini relative al contenuto dei documenti in suo possesso, parliamo di documenti di identità (carte d’identità , tessere sanitarie, codici fiscali, patenti di guida) dei suoi clienti e relative sottomissioni per la titolarità delle opere.
Altro elemento interessante che si apprende visitando il leak site è relativo all’interesse dell’organizzazione criminale nell’espandere le proprie operazioni mediante collaborazioni.
Un’apposita sezione del sito è stata predisposta per raccogliere proposte di affiliazione. Interessante anche la volontà del gruppo nell’acquisire previo compenso l’accesso a reti di grandi organizzazioni che poi possono essere attaccate. Questo fenomeno non è nuovo, la quasi totalità delle gang criminali che implementano un modello di Ransomware-as-a-Service gestiscono una rete di affiliati con l’intento di aumentare la base di potenziali vittime.
Gli altri casi di aziende attaccate
Purtroppo, il caso SIAE non è isolato, negli scorsi mesi altre importanti aziende italiane sono state vittime di attacchi ransomware con pesanti conseguenze sulle loro operazioni, in alcuni casi si è registrato un blocco delle attività produttive e talvolta impiegati ed operai sono stati costretti a restare lontani dal proprio posto di lavoro.
Proprio mentre stiamo discutendo dell’attacco a SIAE, altre aziende risultano sotto attacco di altre gang criminali, per ovvi motivi evito di citarne i nomi, ma alcuni servizi specializzati già li riportano nell’elenco delle vittime di importanti gruppi ransomware quali Lockbit e BlackByte.
Per evitare questi incidenti in futuro è necessario che si investa maggiormente in sicurezza, è auspicabile che le aziende investano in soluzioni di monitoraggio continuo e che abbiamo in piedi un sistema efficace per la gestione della sicurezza delle informazioni. Accanto a questo è auspicabile che le istituzioni sensibilizzino le imprese circa il rischio cibernetico, in proposito cito l’immenso lavoro dell’agenzia americana CISA che periodicamente diffonde informazioni relative ai principali attori malevoli e guide utili a rendere le imprese più resilienti.