Masterchef e Grande Fratello hacked: il ransomware DoppelPaymer colpisce la Endemol

La multinazionale francese Banijay Grousp SAS è stata colpita da un attacco ransomware da parte del noto gruppo ransomware DopplePaymer: sicuro anche il data breach, dato che ci sono già riscontri del fatto che gli attaccanti hanno avuto accesso e rubato informazioni sensibili durante l'incidente. 

Banijay è divenuto uno dei più grandi, se no il più grande, gruppo internazionale per la produzione e distribuzione di contenuti audiovisivi dopo aver proceduto all'acquisto di Endemol Shine Group per oltre 2.2 miliardi di dollari nel Luglio 2020. L'elenco dei marchi acquisiti da Banijay è molto lungo, ma tra i più famosi troviamo MasterChef, Survivor, il Grande Fratello, Black Mirror, Mr.Bean, Extreme Makeover: Home Edition ecc...

L'attacco ha colpito solo la rete di Endemol
La nota ufficiale pubblicata dal gruppo rivela che i tecnici e gli esperti di cybersecurity di Banijay "stanno gestendo un cyber incidente che ha colpito le reti dei preesistenti Endemol Shine Group e Endemol Shine International". "Abbiamo ragione di credere che alcuni dati personali di dipendenti ed alcuni ex dipendenti possano essere stati compromessi, così come le informazioni commerciali riservate" prosegue la nota. 

L'incidente è già stato notificato alle autorità competenti nel Regno Unito e nei Paesi Bassi, dove sono fisicamente locati gli asset riguardati dall'incidente e alcuni consulenti esperti in cybersecurity di terze parti sono stati assunti per aiutare nelle indagini. 

"Stiano continuando a prendere tutte le precauzioni e le misure necessarie per proteggere i nostri dipendenti, quelli attuali e quelli passati: stiamo monitorando qualsiasi uso illegittimo o illegale dei dati rubati, così da poter contattare direttamente gli individui interessati", chiude la nota. 

Dietro l'attacco il ransomware DoppelPaymer

Le VPN sono sicurissime! Ma ne siamo proprio sicuri? Il caso FortinetVPN e l'annoso problema delle patch

La notizia rimbalza da un paio di giorni su tutte le community di cybersecurity e di cyber attivisti: uno sconosciuto attaccante ha diffuso le credenziali di quasi 50.000 VPN Fortinet vulnerabili. Per capire la gravità del fatto è sufficiente dire che nell'elenco degli obiettivi vulnerabili sono presenti domini appartenenti a banche, aziende e perfino enti governativi nel mondo. 1370 sono le credenziali esposte afferenti ad utenti italiani.

I file pubblicati espongono username, password e IP non nascosti
La vicenda inizia lo scorso fine settimana, quando un attaccante non identificato ha pubblicato un lungo elenco di one-line exploit per la vulnerabilità CVE-2018-13379: exploit che rendono possibile sfruttare la falla per rubare le credenziali VPN da svariate tipologie di dispositivi. 

L'exploit della falla FortiOS di livello critico CVE-2018-13379 consente ad un attaccante di avere accesso ai file "sslvpn_websession", che contengono informazioni sensibili provenienti dalla VPN Fortinet. Questi file contengono informazioni relative alla sessione i corso ma, più importante, possono rivelare in chiaro nome utente e password degli utenti della VPN di Fortinet. 

Qualche giorno dopo viene individuato, sullo stesso forum di hacking, un data dump contenente i file "sslvpn_websession" per ognuno degli indirizzi IP presenti sulla lista: qui si trovano username, password, livello di accesso e l'IP originale non mascherato dell'utente connesso alla VPN.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 20/11
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 36 campagne dannose contro utenti italiani: 6 sono state veicolate anche in Italia, 30 avevano come target l'Italia. Sono stati ben 525 gli indicatori di compromissione pubblicati, consultabili sul sito ufficiale del CERT-AgID. 

Le famiglie di malware in diffusione sono state 9, nello specifico:

TrickBot risorge dalle ceneri e torna attivo con una nuova versione: è capace di eludere l'individuazione delle soluzioni di sicurezza

100. La nuova versione di TrickBot individuata in diffusione qualche giorno fa segna un "bel" traguardo per la cybergang dietro questo malware: è la 100° versione, rivista e migliorata soprattutto per quanto riguarda le funzionalità di evasione delle individuazioni. 

TrickBot in breve
TrickBot è un malware che viene comunemente diffuso tramite email di phishing o altri malware. Una volta installato, si esegue in background sul computer della vittima e inizia, silenziosamente, a scaricare alcuni moduli per eseguire differenti compiti: è quello che viene definito, in gergo tecnico, un malware modulare, dove ogni modulo è responsabile dell'esecuzione di una specifica funzione dannosa. Tra le attività eseguite da questi modulo ne troviamo alcune per il furto delle credenziali delle Active Directory, per la diffusione laterale nella rete, per lo screenlocking, per il furto dei cookie e delle credenziali salvate nelle password, per rubare le chiavi OpenSSH. 

Scopo principale è comunque quello di raccogliere i dati sulle macchine infette e continuare a diffondersi il più possibile nella stessa rete, per poi rivendere l'accesso ottenuto ad altri cybercriminali per la distribuzione dei ransomware Ryuk e Conti. 

Le (pessime) novità

Spotify: 300.000 account hackerati con un attacco di credential stuffing

E' già capitato molte volte, nel corso degli ultimi anni: utenti Spotify riscontrano difficoltà di accesso ai propri account, password cambiate, comparsa e scomparsa di playlist, aggiunta di utenti da altri paesi negli account. 

La nuova ondata di segnalazioni (ma non è stata affatto l'ultima) di questo tipo c'è stata questa estate, quando molteplici utenti hanno iniziato a segnare stranezze, malfunzionamenti, impossibilità di accedere ai propri account. C'è una (unica) causa scatenante? 

Forse si: un nuovo report ha rivelato che i cybercriminali stanno attivamente utilizzando un database contenente oltre 380 milioni di record, comprese credenziali di login, per accedere  agli account. Database che i ricercatori hanno individuato e acceduto poiché totalmente esposto e contenente informazioni non criptate. 

L'attacco di "credential stuffing"
Uno degli attacchi comunemente utilizzati contro gli account è detto di "credential stuffing" e, stranamente, non prevede alcun particolare accorgimento: con un attacco di credential stuffing, semplicemente, un attaccante fa uso di grandi combinazioni di credenziali (utenti e password) già trapelate in precedenti violazioni di sicurezza. Molto spesso questa tecnica funziona perché i legittimi proprietari non sono a conoscenza della violazione del proprio account, ne tantomeno che i propri dati siano in vendita nel dark web in database contenenti i dati di altri migliaia di utenti. Insomma, l'unica fatica degli attaccanti in questo caso, è quella di entrare in possesso di questi database e accedere agli account online. 

Il report del quale abbiamo accennato qualche riga fa è stato pubblicato qualche giorno fa da VPNMentor e dettaglia il ritrovamento di un database esposto online contenente oltre 380 milioni di username e password usate attivamente in attacchi di credential stuffing contro Spotify. 

Nuovo malware per Android sfrutta il nome di Immuni: dalle indagini emerge un dominio pieno di app fake

Questa storia inizia così, con le segnalazioni di alcuni utenti rimasti vittime di un attacco malware mentre tentavano di scaricare Immuni, l'app per il contact tracing scelta dal Governo italiano. 

Così gli esperti del Cert-AgID in collaborazione con D3Lab hanno avviato le indagini per poter studiare il malware, le modalità di diffusione e  risolvere il problema annullando i rischi: inutile infatti dire quanto possa essere estremamente problematica ogni singola app fake Immuni, ovunque essa sia messa in download, dato non solo l'importanza dell'app stessa ma anche della campagna comunicativa continua per incentivare i download.

Nel corso delle indagini è stato individuato un sito fake che riproduce il repository del Google Store: il sito è ben fatto e rende piuttosto difficile, per utenti poco avvezzi, rendersi conto di stare navigando su una pagina falsa. Nell'immagine sotto è visibile la pagina di download della versione fake di Immuni. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 13/11
La scorsa settimana il CERT-AgID ha individuato e analizzato oltre 32 campagne dannose contro utenti italiani. Ben 485 gli indicatori di compromissione pubblicati, disponibili sul sito del CERT-AgID. Sono state analizzate 8 diverse famiglie malware attive nello spazio italiano:

• immancabile Ursnif, in diffusione con ben 5 diverse campagne dannose. Tra gli allegati utilizzati troviamo il formato archivio .zip e l'estensione Excel .xls. I temi delle campagne sono stati vari, tra i quali INPS, Mise (a tema Covid), Enel e Delivery, ma gli IoC non sono cambiati;

API e sicurezza: quali sono le vulnerabilità più comuni?

Una API, Application Programming Interface, fornisce a sviluppatori e proprietari di siti web codice sorgente da applicazioni già esistenti: molto semplicemente li aiuta a velocizzare il proprio lavoro, poiché consente di riutilizzare lo stesso codice per esigenze specifiche, integrandolo nelle funzioni aziendali e nei siti web esistenti per migliorare l'esperienza dell'utente, anziché doverlo scrivere da zero. 

Essendo strumenti ormai essenziali per ogni business online sono divenuti, come ogni cosa essenziale, un bersaglio privilegiato per i cyber attaccanti. Disporre del codice necessario per attaccare e violare una API è molto profittevole per un cyber attaccante, perché molto probabilmente potrà eseguire lo stesso attacco in tutti i siti o applicativi che utilizzano quella data API. Ma quali sono le più comuni vulnerabilità presenti nelle API e le modalità con cui solitamente sono attaccate? Quali rischi corrono gli utenti che utilizzano siti web o web app contenenti API?

Code Injection
Questo è uno dei sistemi di attacco contro le API più usato in assoluto, per "requisire" una API e fargli fare ciò che si vuole.  Tra i "code injection" più comuni troviamo SQl, XML, RegEX: pezzi di codice sono iniettati nell'API al fine di far eseguire operazioni dannose come  la condivisione dei dati sensibili degli utenti, credenziali e password, ma anche per installare malware e spyware sui dispositivi. Solitamente, la presenza della funzione base64_decode all'inizio di uno script è un comune segnale di script injection. 

Gli IoT compromettono la cybersecurity: l'UE costretta a correre ai ripari emanando specifiche raccomandazioni

Abbiamo parlato spesso di un'evidenza tenuta in scarsa attenzione sia da utenti che, purtroppo, dai vendor: parliamo del fatto che, al diffondersi sempre più massivo di dispositivi IoT, non è seguito di pari passo un trend di messa in sicurezza degli stessi e non si è visto neppure un aumento generale di consapevolezza, in termini di rischi, dei milioni di utenti che ne fanno uso. 

L'avvento dei dispositivi IoT ha determinato un vero e proprio balzo in avanti, ad esempio, del numero di attacchi DDoS registrati rispetto a pochi anni fa e ha ampliato moltissimo i vettori di attacco: i dispositivi IoT mancano di potenza sufficiente per dare vita ad attacchi massivi, ma gli attaccanti hanno semplicemente puntato ad aumentare il numero di quelli infetti. Recentemente abbiamo riproposto il problema, parlando di botnet: lo scorso mese infatti abbiamo parlato della famigerata botnet Mirai, responsabile di migliaia attacchi DDoS e massive campagne di spam. La botnet Mirai, vive esiste e si nutre di bot che altro non sono che centinaia di migliaia di dispositivi IoT vulnerabili o protetti con credenziali deboli. 

Insomma, i dispositivi IoT sono diventati l'anello debole della catena della cyber security e ciò è ormai talmente manifesto da aver spinto l'ENISA (European Union Agency for Cybersecurity) ad emanare specifiche linee guida in materia di sicurezza dei dispositivi IoT, allo scopo di sensibilizzare sul problema e fornire utili spunti per minimizzare i rischi.

Il ransomware LockBit colpisce duramente in Italia: cosa è importante sapere?

Da qualche giorno ci stanno contattando molte aziende italiane per richiederci assistenza  in seguito ad attacchi del ransomware LockBit. Data la situazione e nell'evidenza che il team di cybercriminali che gestisce LockBit ha deciso si colpire in Italia, riteniamo utile fornire alcune informazioni tecniche su questo ransomware. 

LockBit è stato individuato in diffusione per la prima volta nel Settembre 2019, ma con un nome differente ovvero "ABCD Ransomware". Ha continuato poi ad essere sviluppato ed affinato divenendo una minaccia malware complessa: le versioni recenti sono passate dall'uso dell'estensione di criptazione .abcd all'estensione di criptazione .lockbit, alla quale si deve il nome attuale del malware. Come tutti i ransomware, il suo unico scopo è quello di criptare i dati presenti in una rete, impedendone così l'accesso ai legittimi proprietari per poter così richiedere in cambio una somma di denaro in riscatto. Al contrario di altri ransomware però, ha sempre preferito colpire aziende ed enti governativi piuttosto che utenti finali. 

Come si diffonde
E' piuttosto complesso analizzare il comportamento di LockBit poiché lascia veramente poche tracce utili per eseguire analisi di tipo forense. Si sa che è imparentato per parti di codice e funzionamento con i ransomware LockerGoga e MegaCortex, è che è un RaaS (ransomware as a service), ovvero uno strumento di attacco che chiunque può affittare nel dark web, condividendone i proventi con i gestori e gli affiliati alla rete (per approfondire vedi qui). Si diffonde in tre diverse modalità:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 06/11
Nel corso della settimana il CERT-AgID ha individuato 25 campagne dannose attive contro utenti italiani. Sono stati 223 gli indicatori di compromissione (IoC) messi a disposizione. 

Sei le famiglie di malware individuate in distribuzione:

• Dridex è il malware più individuato. E' stato diffuso con due diverse campagne in lingua inglese a tema "Pagamenti". Le email contengono un allegato in formato .xlsm contenente la classica macro dannosa;
• AgenTesla è stato diffuso con due diverse campagne, delle quali una scritta in lingua italiana. La campagna in lingua italiana reca con se in allegato due file .exe, mentre quella inglese reca un file .lha compromesso contenente un file eseguibile .exe;
• Lokibot, Qrat e Remcos sono le altre famiglie malware individuate in diffusione nel corso di campagne a tema "Pagamenti" e "Informazioni": hanno destato poca preoccupazione, poichè le campagne di diffusione sono state sporadiche. I file usati come allegati erano nei formati .ace, .zip e .ico.

I ransomware sbarcano su Linux: ecco RansomExx

Come ripetiamo spesso, i cyber criminali non riposano mai ed escogitano sempre nuovi metodi di attacco per poter ampliare le cosiddette "superfici di attacco", i bersagli potenziali. Quindi era solo questione di tempo, ma i ransomware sarebbero sicuramente sbarcati su Linux: ed ora è successo. D'altronde, agli attaccanti non è servito altro che prendere consapevolezza di quello che, nel mondo aziendale, è una normalità ovvero l'uso di un ambiente server misto Linux e Windows. Insomma, è ormai da tempo che sono aumentati gli sforzi  del cybercrime per creare malware adatti alle versioni Linux, così da garantire la criptazione dei dati indipendentemente dall'ambiente in cui sono ospitati. 

RansomExx non è un nuovo ransomware: è già balzato agli onori delle cronache per attacchi di un certo peso, quello contro la rete governativa del Brasile, ma anche contro il Dipartimento dei Trasporti del Texas, contro Konica Minolta, IPG Photonics e altri... Quel che è stato individuato recentemente in diffusione, è che poi costituisce novità, è una nuova versione, chiamata anche Defray777, che ha le capacità di colpire e criptare anche i server Linux. 

Stando alle analisi dei ricercatori, quando viene attaccato un server Linux, gli operatori del ransomware distribuiscono anche un eseguibile ELF (Executable and Linkable format) chiamato "svc.new": è questo file il responsabile della criptazione dei file sui sistemi Linux.  Nell'eseguibile Linux sono integrati anche una chiave di criptazione pubblica RSA-4096, la nota di riscatto e un'estensione di criptazione che verrà applicata ai file criptati e che prenderà il nome della macchina della vittima. 

Campari e Capcom Ko: il ransomware RagnarLocker irrompe nelle reti aziendali

Geox, Enel, Carraro, Luxottica e ora Campari Group, il colosso italiano dell'aperitivo: i ransomware colpiscono forte in tutto il mondo e ormai dovrà ricredersi, sulla loro pericolosità, anche chi ha sempre pensato che l'Italia fosse in salvo. 

L'attacco contro Campari Group è iniziato domenica 1 Novembre: si parla di circa 2TB di dati non criptati rubati, gran parte della rete IT in down e una richiesta di riscatto di 15 milioni di dollari. Down anche i siti web, il sistema di email interno, le linee telefoniche.  L'attacco è stato attribuito al gruppo ransomware RagnarLocker: il ricercatore malware che corrisponde al nome di Pancak3 ha infatti condiviso con la redazione della rivista specializzata online ZDNet la nota di riscatto inviata a Campari, dove è esplicitata la tipologia di ransomware utilizzato:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 30/10
Nel corso della scorsa settimana il CERT-AgID ha individuato e analizzato 19 campagne dannose attive nel panorama italiano: a fronte di un numero di campagne minori rispetto alle settimane scorse, si presenta invece molto alto il numero di Indicatori di Compromissione (IoC), oltre 454. 

Sei sono state le famiglie ransomware individuate, in dettaglio:

Emotet è stato il malware più diffuso, distribuito con ben 3 diverse campagne nella sola giornmata di Lunedì 26. Le email sono in lingua italiana, 3 i temi: "Documenti", "Evento", "Salute". L'allegato dannoso è in formato .doc. Una quarta campagna Emotet è stata individuata nella giornaa di Venerdì scorso: differisce per temi, ma è identica ad una campagna a tema "Sociale" già individuata Venerdì 30 Ottobre. 

Dridex se la gioca a pari merito con Emotet: è stato diffuso soltanto i primi tre giorni della settimana, ma con ben 4 diverse campagne contemporaneamente. I temi sono stati "Pagamenti" e "Spedizioni", gli allegati dannosi sono in formato .xsls e .doc.

Pochi segnali di attività invece da Ursnif che, a differenza della scorsa settimana, è stata diffusa con una sola campagna dannosa, che imita comunicazioni ufficiali di Enel e reca un file .xls in allegato. Segnali di attività anche per Lokibot, AgenTesla e Zloader, attivi solo nei primi tre giorni della settimana con campagne diverse a tema "Spedizioni" o "Pagamenti". 

Attacco ransomware: non solo danni economici, ma anche conseguenze legali. Il caso Blackbaud

Blackbaud è un'gigante high tech statunitense, provider di servizi in cloud: ha clienti e svolge le proprie operazioni in tutto il mondo, ma il grosso dei clienti si concentra tra Stati Uniti, Regno Unito, Australia e Canada. 

Il 16 Luglio 2020 l'azienda ha subito un attacco ransomware i cui effetti hanno impattato i dati e i servizi di migliaia di clienti, comprese organizzazioni di carità e no profit, fondazioni, università e altre aziende dagli Usa al Canada fino all'Olanda. La società aveva dichiarato di essere riuscita ad impedire agli attaccanti di criptare completamente i sistemi, ma non prima che gli attaccanti fossero riusciti a mettere le mani su un sottoinsieme dei dati aziendali da un ambiente self-hosted. Per riportare in chiaro la porzione di file criptati, l'azienda ha optato per il pagamento del riscatto, una volta saputo però del furto dei dati: probabilmente il riscatto è stato pagato più per non far pubblicare i dati rubati che per riportare in chiaro quelli criptati. 

Le cause legali e le richieste di informazioni da parte delle Autorità Garanti
Se per la maggior parte delle aziende un attacco ransomware si conclude quando i dati sono tornati in chiaro e gli attaccanti sono stati espulsi dalla rete, la realtà è però ben diversa e il caso di Blackbaud lo dimostra. Sulla Blackbaud sono infatti piovute ben 23 class action da parte dei clienti. 

Emotet e Trickbot hanno un nuovo concorrente: anche il malware Buer debutta come distributore di ransomware

Analizzando alcune recentissime campagne di attacco del ransomware Ryuk, alcuni ricercatori di sicurezza hanno individuato in diffusione il malware Buer: Buer, conosciuto già dall'Agosto 2019, è in affitto nel dark web come malware-as-a-service, in dettaglio con la funzionalità di downloader. Nel dark web è conosciuto come Modular Buer Loader. 

Scopo principale è quello di fornire un primo punto di accesso ad una macchina target a successivi attaccanti, compromettendo sistemi Windows dei quali rivendono gli accessi ad altri gruppi di cyber attaccanti. E' esattamente quanto sta già avvenendo con TrickBot e Emotet i quali, oltre a rubare credenziali e dati sensibili, installano sulle macchine infette delle backdoor che poi vengono rivendute ad altri attaccanti, soprattutto gang ransomware: gli attaccanti ransomware quindi non devono occuparsi di cercare un punto di accesso ad una macchina violandone la sicurezza, ma sfruttano accessi già presenti.

La novità recente riguardo a Buer è che se fino a poco tempo fa era usato solo per distribuire malware bancari, oggi è usato anch'esso negli attacchi ransomware: il numero dei malware che collaborano con i ransomware quindi cresce e possiamo definitivamente parlare della triade Emotet, TrickBot e Buer. 

Qualche dettaglio tecnico

Prospettive: l'e-commerce è in crescita e resterà in voga anche ben oltre la pandemia

I profitti registrati da Amazon, dalle aziende di food delivery, ma anche da shop di piccole e medie dimensioni parlano chiaro da quasi un anno: la pandemia è stata una di quelle "crisi da sfruttare" per un settore che ha garantito alle persone di poter fare acquisti pur rinchiuse dentro casa o con forti limitazioni agli spostamenti. 

Il sondaggio pubblicato da IZI in collaborazione con Comin&Partners però ci permette di fare una riflessione mirata e specifica per l'Italia, entro un trend che comunque, come detto, è stato valido e riscontrato in tutto il mondo. A partire dal +20% registrato dal settore nel nostro paese dall'inizio della pandemia. 

Intanto un primo dato: delle oltre 1.000 persone intervistate tra il 6 e il 9 Ottobre 2020, quasi il 60% ha dichiarato che continuerà ad acquistare online anche al termine dell'emergenza. Il 68% si aspetta di eseguire online lo stesso volume di acquisti online che già effettua oggi, con particolare interesse nei settori libri (+29%), elettronica (+25%) e abbigliamento. Un dato notevole, se consideriamo anche che prima dell'emergenza oltre l'85% degli italiani acquistava vestiario solo in punti di vendita fisici e oggi, a meno di 10 mesi di distanza, questa percentuale si è contratta fino al 64%.