Aziende italiane sotto attacco hacker: chi ha pagato e chi ha resistito. Soluzione cybersecurity
Informazioni personali e aziendali esfiltrate ovvero copiate su un altro server, crittografate o violate. Attacchi hacker che rendono pubblici piani strategici aziendali e informazioni commerciali. Assenza di un piano efficace di cybersecurity che spalanca le porte al furto e alla diffusione di dettagli di pagamento dei clienti di aziende italiane. Ma anche i curricula vitae di candidati a rafforzare l’organico, documenti interni, analisi, presentazioni e contabilità.
Le conseguenze travalicano il salatissimo impatto economico. La pubblicazione di dati aziendali e la violazione della barriera di sicurezza significano la perdita di proprietà intellettuale, immagine e reputazione. Oltre al rischio – spesso colpevolmente sottovalutato – di sanzioni milionarie per violazione della privacy ai sensi del Gdpr.
Riavvolgiamo il nastro degli eventi più recenti e approfondiamo 5 casi emblematici di aziende italiane che sono state attaccate dagli hacker:
Attacco hacker alle rubinetterie Paini: 400.000 euro di danni al giorno
Immaginiamo la scena: i dipendenti accendono quasi distrattamente il computer, come fanno da anni tutti i giorni. In fondo è un’operazione automatica il cui esito è scontato. Ma proprio quella mattina succede qualcosa di diverso. Dopo aver premuto il tasto di accensione il dispositivo non si avvia. O meglio, la sola schermata visualizzata è una distesa di pixel bianchi e accecanti. Ed è poi bastata un’occhiata allo schermo del collega di scrivania per rendersi conto che il problema era comune e stava coinvolgendo tutto il personale.
Un attacco hacker aveva infatti messo fuori uso la linea informatica e i sistemi di automazione della Paini, una delle maggiori rubinetterie italiane. Senza preavvisi e senza alcun segnale di pericolo. Il risultato? Produzione interrotta e danno quantificato in 400.000 euro al giorno. Considerando che i 350 addetti sono rimasti con le braccia incrociate per 5 giorni, la perdita complessiva per Paini è stata di almeno 2 milioni di euro.
Il lavoro di ripristino è stato complesso e costoso. Paini è un’azienda molto avanzata sotto il profilo tecnologico e si basa sul corretto funzionamento dei processi informatici. Perfino il passaggio dei pezzi, dal magazzino alla produzione, è controllato elettronicamente. Di conseguenza se il sistema viene danneggiato, il meccanismo si blocca e solo il personale altamente specializzato è in grado di ripristinare la normalità. Si è trattato di un attacco ransomware a tutti gli effetti con tanto di ricatto e riscatto via mail.
L’azienda non ha risposto alle minacce preferendo non pagare gli hacker, ma affrontare i costi diretti e indiretti per la riattivazione.
Enel: rubati 5 TB di dati e chiesto un riscatto milionario
Doppio attacco hacker nei confronti di Enel e doppio rifiuto di corrispondere quanto richiesto, circa 14 milioni di euro in Bitcoin. A costo di allungare i tempi di ripristino del sistema con tutte le conseguenze in termini economici, produttivi e di continuità del servizio ai clienti. Eppure la posta in gioco è stata molto elevata. Prima il ransomware Snake/Ekans e poi il virus NetWalker hanno sottratto 4,54 TB di dati con tanto di messaggio beffardo sulla chat di supporto: “Ciao Enel. Non aver paura di scriverci”. Parte dei dati trafugati sono finiti sul dark web con l’obiettivo di esercitare pressione nei confronti della utility dell’energia e spingerla al pagamento.
In particolare sono diventate di dominio pubblico le informazioni sulle centrali elettriche del gruppo in Italia e all’estero, sugli impianti e sulle strategie aziendali. Molto efficace nell’aggressione ai sistemi di controllo industriale, il ransomware aveva già colpito gli ospedali Fresenius.
Dal punto di vista tecnico, il ransomware aggiunge un’estensione casuale ai file infetti e utilizza la crittografia Salsa20. Sfrutta alcuni stratagemmi per evitare il rilevamento, come una nuova tecnica di evasione della difesa, nota come caricamento DLL riflettente per introdurre una DLL dalla memoria. Stando agli esperti di sicurezza, NetWalker si è evoluto in un modello ransomware-as-a-service (RaaS) più stabile e robusto con i cybercriminali che si stanno distinguendo per essere sempre più tecnicamente avanzati e intraprendenti.
Luxottica, furto di informazioni aziendali e cybersecurity a rischio
Stop alla produzione, uffici chiusi, dipendenti a casa e documenti pubblici finiti sulla Rete. L’attacco hacker subito da Luxottica, multinazionale veneta impegnata nella produzione e vendita di occhiali, è stato devastante per l’estrema perizia dei cybercriminali. Hanno infatti sfruttato una vulnerabilità in Citrix Application Delivery Controller and Gateway. Si tratta di un’appliance di rete che migliora le prestazioni delle applicazioni.
Dopodiché è iniziata la lenta agonia perché solo a distanza di 28 giorni dall’attacco, gli hacker hanno reso pubblici una parte dei dati sottratti tra file e materiali interni. In ogni caso l’azienda veneta non ha ceduto al ricatto dei criminali preferendo sospendere l’attività e ripristinare la corretta configurazione dei sistemi informatici. Successive indagini hanno poi individuato la falla di sicurezza nel server sudafricano di Luxottica che supporta esclusivamente le attività locali del Gruppo.
La società fondata da Leonardo Del Vecchio ha dunque subito un attacco che non si è limitato a crittografare i dati e richiedere il riscatto in cambio della chiave di decrittazione. L’obiettivo è stato il sequestro di dati aziendali con la successiva minaccia di renderli progressivamente pubblici senza il pagamento delle somme richieste. A quel punto solo l’azienda aveva la contezza del valore del materiale sottratto e soprattutto l’impatto che ne sarebbe derivato in relazione alla normativa europea del General data protection regulation (Gdpr).
Carraro, 700 dipendenti in cassa integrazione per l’attacco hacker
Subire un attacco hacker e non disporre evidentemente di un sistema efficiente di cybersecurity significa fare i conti anche con le conseguenze sul piano lavorativo. Pensiamo ad esempio a Carraro, azienda padovana che progetta e sviluppa sistemi di trasmissione per macchine agricole e movimento terra. Colpita da un attacco informatico sulla infrastruttura It ovvero da un ransomware che ha bloccato l’intera macchina produttiva, è stata costretta ad accedere alla cassa integrazione straordinaria per 700 dipendenti. Più esattamente, gli stabilimenti colpiti sono stati quelli di Campodarsego (500 lavoratori) e della divisione Agritalia di Rovigo (altri 200). E non l’hanno scampata quelli localizzati in Argentina e in India di una società che ha in dote una forza lavoro di circa 3.000 dipendenti.
Il cyber attacco aveva infatti colpito tutti i sistemi informativi di tutti i reparti, dal produttivo all’amministrativo. Dopo aver fermato l’intera macchina del lavoro, l’azienda veneta ha ripristinato i sistemi It che sono tornati alla normalità. Ma resta il conto da pagare di circa 15 milioni di euro che hanno fatto andare in picchiata la relativa trimestrale, già provata dagli effetti della lunga pandemia. Per la questura di Padova pagare il riscatto non è mai una buona idea, anche perché non si ha la garanzia che i cybercriminali rispettino il patto. Giocare d’anticipo e mettere in piedi un sistema di sicurezza informatica che sia il più inespugnabile possibile è la soluzione più lungimirante.
Campari, doppia estorsione e dati dell’azienda sul dark web
Innanzitutto i numeri dell’attacco hacker che ha colpito Campari: sono stati coinvolti i dati di 4.736 dipendenti, 1.443 ex dipendenti e 1.088 consulenti.
Quindi il contenuto dell’aggressione informatica: sono stati rubati nome, cognome, indirizzo di posta elettronica, numeri di cellulare, ruolo e numero identificativo del personale nel Network Campari.
Infine la sostanza: nelle mani sbagliate sono finiti i contratti, documenti e dati personali, dati contabili principalmente riferiti alla consociata statunitense del gruppo.
A conti fatti, il cyber attacco ha portato alla sottrazione di 2 TB di dati della società che raggruppa i marchi del beverage Aperol, Grand Marnier, Averna e Cynar. La posta in gioco è stata di 15 milioni di dollari ovvero la cifra richiesta per la restituzione del materiale digitale. Rispetto ad altri casi, questa volta è stato lo stesso gruppo di cyber criminali Ragnar Locker a rendere pubblico l’attacco. Lo ha fatto con un post pubblicato nel proprio portale nel dark web.
Ragnar Locker è uno dei gruppi di pirati informatici più organizzati della web. Utilizza la tecnica sempre più popolare tattica della doppia estorsione. Prima estrae i dati sensibili, quindi avvia l’attacco di crittografia, minacciando di far trapelare i dati rubati se l’azienda colpita si rifiuta di pagare il riscatto. Sfrutta tecniche avanzate di evasione della difesa per aggirare la protezione antivirus. Più esattamente una immagine della macchina virtuale del sistema operativo per avviare il suo payload e crittografare i file sull’unità di un utente connessa come unità di rete. Rappresenta un rischio significativo per le aziende senza soluzioni anti-malware avanzate.
