Cosa hanno in comune San Carlo Gruppo Alimentare e Artsana? Sono entrambi vittime di ransomware

(ansa)
3 minuti di lettura

La scorsa settimana la notizia dell’attacco a SIAE da parte di una ransomware gang ha rapidamente catalizzato l’attenzione dei media.
Pur non avendo evidenza che i file dell’azienda siano stati effettivamente cifrati, si è constatata la violazione di informazioni che ha impattato ed impatterà in maniera potenzialmente severa gli autori nelle settimane a venire.


Il modello estorsivo che fa leva sulla minaccia di pubblicazione dei dati trafugati, da un lato aumenta la possibilità che le vittime paghino il riscatto e dall’altro favorisce la diffusione delle notizie degli attacchi sui media aumentando la pressione sui clienti.
In queste ore diverse aziende italiane sono sotto attacco, tra esse importanti realtà come San Carlo Gruppo Alimentare S.p.A. ed il distributore di prodotti per l’infanzia e sanitari Artsana.
Entrambe le aziende sono state colpite dal medesimo gruppo ransomware noto come Conti, una gang che gestisce un proprio sito web (leak site) ospitato sulla rete di anonimizzazione Tor e sul quale pubblica notizia degli attacchi e rilascia i dati rubati alle vittime.
 

Figura 1 -Immagini dal Leak site della Ransomware gang Conti


Nel caso del gruppo San Carlo, i criminali hanno pubblicato una lista di file per una dimensione complessiva di circa 59MB che prova l’avvenuta intrusione intrusione.
I file pubblicati dal gruppo Conti nel caso dell’attacco a San Carlo includono passaporti, carte di identità, informazioni finanziarie, fatture e molto altro.
Al momento non abbiamo notizia dell’importo del riscatto richiesto.

 


Figura 2 - Immagini dal Leak site della Ransomware gang Conti

Al momento non è chiaro se i criminali informatici abbiano cifrato informazioni cifrate le informazioni delle due aziende, o se abbiano solamente trafugato i dati per ricattare le aziende colpite. Ma chi è il gruppo ransomware Conti?
Secondo i dati prodotti dalla threat intelligence firm DarkTracer, il gruppo è uno dei più attivi nel panorama delle minacce come si evince dal grafico sottostante.

Il gruppo Conti è considerato uno dei più spietati per la sua propensione ad attaccare strutture sanitarie, servizi di pronto soccorso, e forze dell'ordine nonostante la concomitante pandemia. Tra gli attacchi più clamorosi quello al sistema sanitario irlandese di quest’anno che ha portato alla paralisi dell'intera rete informatica nazionale con un severo impatto su molte strutture.
Il gruppo opera un modello Ransomware-as-a-Service (RaaS), ovvero offre ad una rete di affiliati il proprio malware e la struttura per gestirlo, in compenso tiene per sé una percentuale del riscatto funzione dell’importo pagato dalle vittime.
Sono diverse centinaia le organizzazioni colpite dal gruppo, la maggior parte delle quali aziende statunitensi. Il gruppo è noto anche per le ingenti richieste di riscatto che in taluni casi hanno raggiunto anche i 25 milioni di dollari.
Va detto che proprio il gruppo Conti in alcuni casi non ha mantenuto fede agli accordi con le vittime, che pur pagando il riscatto, non sono riuscite a recuperare i propri file cifrati.
 


Figura 3 - Fonte DarkTracer


Quanto è esposta l’Italia ad attacchi ransomware? La risposta è non meno di organizzazioni di altri paesi, gli ingenti proventi da questa pratica criminale continuano ad attirare l’interesse di gruppi criminali che grazie al modello RaaS riescono rapidamente a monetizzare i propri sforzi.
Secondo le statistiche fornite da DarKTracer, sono state colpite dalle principali ransomware gang ben 3,338 organizzazioni in 105 paesi nel periodo che va dal 1° maggio 2019 al 6 ottobre 2021. L’Italia si colloca al sesto posto nella classifica dei paesi colpiti (3,6% attacchi), il triste primato spetta agli Stati Uniti (56%), seguito a distanza dal Canada (6.1%).
 


Figura 4 - Fonte DarkTracer

Cosa sta accadendo in queste ore? Gli attacchi continuano incessanti, altre gang stanno prendendo di mira strutture italiane, tra esse Lockbit, che nei giorni scorsi ha colpito il Selini Group.
Vi segnalo tuttavia una serie di attacchi inusuali che con il mio team stiamo osservando, trattasi di attacchi ransomware in cui però apparentemente non vi è esfiltrazione di informazioni.
L’unico segno distintivo di questa misteriosa gang criminale, messo che lo sia e che non operi con altre finalità, è l’utilizzo dell’estensione pusheken91@bk.ru che aggiunge a tutti i file che sono cifrati.
Come detto è singolare che il gruppo non lasci sulle macchine colpite alcuna richiesta di riscatto, questa circostanza potrebbe anche rappresentare una sorta di azione diversiva mirata ad ostacolare le investigazioni.
A parte questa minaccia è lecito attendersi un’intensificazione degli attacchi nelle prossime settimane, anche alla luce della recente chiamata alle armi fatta dal gruppo ransomware Groove nei giorni scorsi. In un comunicato il gruppo incita tutte le gang ransomware ad unire le forze per colpire gli interessi degli Stati Uniti, colpevoli di una dura repressione nei confronti di un altro gruppo ransomware noto come REvil la cui infrastruttura di attacco è stata sequestrata nel corso di una operazione internazionale condotta dalle forze dell’ordine.
Non c’è tempo da perdere, occorre innalzare il livello di allerta delle nostre aziende per evitare ingenti danni e potenziali catastrofi.

 

2

Articoli rimanenti

Accesso illimitato a tutti i contenuti del sito

1€/mese per 3 mesi, poi 2.99€ al mese per 3 mesi

Attiva Ora

Sblocca l’accesso illimitato a tutti i contenuti del sito