lunedì 9 novembre 2020

Campari e Capcom Ko: il ransomware RagnarLocker irrompe nelle reti aziendali

Geox, Enel, Carraro, Luxottica e ora Campari Group, il colosso italiano dell'aperitivo: i ransomware colpiscono forte in tutto il mondo e ormai dovrà ricredersi, sulla loro pericolosità, anche chi ha sempre pensato che l'Italia fosse in salvo. 

L'attacco contro Campari Group è iniziato domenica 1 Novembre: si parla di circa 2TB di dati non criptati rubati, gran parte della rete IT in down e una richiesta di riscatto di 15 milioni di dollari. Down anche i siti web, il sistema di email interno, le linee telefoniche.  L'attacco è stato attribuito al gruppo ransomware RagnarLocker: il ricercatore malware che corrisponde al nome di Pancak3 ha infatti condiviso con la redazione della rivista specializzata online ZDNet la nota di riscatto inviata a Campari, dove è esplicitata la tipologia di ransomware utilizzato:


Stando alla nota di riscatto, sarebbero stati rubati 2TB di dati in chiaro tra i quali credenziali bancarie, documenti, contratti, accordi, email, dati personali, proprietà intellettuali ecc...

L'attacco è stato poi confermato Lunedì scorso con un comunicato stampa pubblicato direttamente da Campari Group, poi con una successiva dichiarazione online:

"A seguito delle precedenti comunicazioni sull'attacco malware, Campari Group informa che, nell'ambito del piano di ripristino dei propri sistemi IT, alcuni servizi sono stati progressivamente riavviati dopo il completamento dell’attività di sanificazione e l’installazione di misure di sicurezza aggiuntive. Nel frattempo, altri sistemi rimangono temporaneamente e deliberatamente sospesi od operanti con funzionalità ridotte in più siti, in attesa di essere sanificati o ricostituiti con l’obiettivo di ripristinarne la piena operatività in modo completamente sicuro.  Il nostro obiettivo è garantire la continuità operativa nel modo più esteso possibile per le nostre attività nonché quelle dei nostri clienti e controparti di business.

Ovviamente è arrivata, da parte degli attaccanti, anche la minaccia di pubblicazione dei dati rubati dalla rete aziendale in caso di mancato pagamento del riscatto oppure di esplicita volontà di non aprire alcuna trattativa. Gli attaccanti non hanno ancora pubblicato dati, ma sono già comparsi nel dark web, sul sito di leak di RagnarLocker alcuni screenshot della rete interna di Campari e di alcuni documenti aziendali a riprova dell'intrusione. Tra i materiali pubblicato anche il contratto che la Campari ha firmato con l'attore americano Matthew McConaughey per la promozione del brand di bourbon Wild Turkey. 

Fonte: https://www.zdnet.com/


Non solo: uno degli screenshot mostra anche un elenco dei dipendenti della filiale statunitense della Campari. L'elenco è contenuto in un file Excel contenente dati estremamente sensibili, compreso il numero di previdenza sociale personale. 

Fonte: https://www.bleepingcomputer.com/

Stando a quanto dichiarato dai portavoce di Campari alla stampa, l'azienda ha deciso di ripristinare i sistemi invece che pagare il riscatto. Già Giovedì infatti la Campari aveva spiegato che "stiamo lavorando su un progressivo restart in condizioni di sicurezza". 

Violati anche i database di Capcom
Quasi in contemporanea con l'attacco a Campari, anche la rete dello sviluppatore di videogiochi Capcom è stata violata. Capcom, famosa per giochi del calibro di Street Fighter, Resident Evil, Devil May Cry e altri, ha subito il furto di oltre 1 TB dalle reti aziendali delle sedi giapponese, canadese  e statunitense. Responsabile dell'attacco, sempre il gruppo di RagnarLocker. La società ha comunicato che l'attacco non ha compromesso i dati degli utenti, mentre ancora non è chiaro l'ammontare del riscatto richiesto. 

Nessun commento:

Posta un commento