giovedì 7 ottobre 2021

Il Ransomware Conti colpisce la Maggioli: disservizi nei sistemi tributari e sanzionatori di centinaia di Comuni

Maggioli è un gruppo di rilevanza internazionale con sedi, oltre che in Italia, in Spagna, Grecia, Belgio e in Sud America: 25.000 installazioni software circa, un parco clienti di 150.000. La corporation offre servizi di vario tipo, molto usati nelle pubbliche amministrazioni, ma anche per aziende e professionisti. La notte del 25 Settembre, a partire dalle 3.00, i sistemi della Maggioli sono stati colpiti da attacco ransomware. L'azienda ha preso consapevolezza di aver subito un attacco soltanto 11 ore dopo l'accaduto, registrando numerosissime anomalie e disservizi sui sistemi.

Stando a quanto per ora è stato possibile ricostruire, l'attacco ransomware è stato portato dal gruppo del ransomware Conti, che però avrebbe mirato, pare, un'unità precisa del gruppo, ovvero la Maggioli Tributi. Tra i servizi sicuramente compromessi il "Concilia Service", usato dalle Polizie Municipali e non solo per le sanzioni amministrative conseguenti a violazione del Codice della Strada o altre norme amministrative e "MT tributi", molto usato nelle Ragionerie. 

Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?

L'azienda ha comunicato l'evento ai clienti il 30 Settembre, segnalando l'indisponibilità temporanea dei dati e indicando che "le informazioni ivi contenute, potrebbero comprendere anche dati personali quali, anagrafiche di contribuenti, domicili fisici e/o elettronici, istanze di contribuenti, situazioni debitorie/creditorie, dati catastali/possessi immobiliari, dati di veicoli, conti correnti e datori di lavoro".

La comunicazione ufficiale, completa e non parziale sull'incidente, risale al 1° Ottobre. "L'attacco

informatico" si legge "è stato effettuato utilizzando un ransomware di ultima generazione, realizzato appositamente dai cyber criminali per l’infrastruttura della Società, rendendo temporaneamente indisponibili alcuni server aziendali. Il Gruppo ha immediatamente eseguito un intervento che ha permesso di contenere l'accaduto e di proseguire con l'attività." Si legge inoltre che sono stati avvisati tempestivamente sia la Polizia Postale che il Garante per la Protezione dei Dati personali, in accordo agli obblighi di legge conseguenti al GDPR. 



I contenuti di questa nota sono interessanti da più punti di vista: in prima battuta, questa perchè questa nota suggerisce l'idea, tutta da verificare, che gli attaccanti abbiano utilizzato una versione "personalizzata" del ransomware Conti: il che vorrebbe dire, fosse vero, che gli attaccanti hanno prima studiato e analizzato l'infrastruttura e poi confezionato una variante del malware "su misura" per fare più danni possibili su quella precisa e determinata infrastruttura. Ma altro dato interessante è il fatto che la nota specifica che tutti i dati presenti nell'infrastruttura aziendale sono salvi perchè è esistente una copia di backup non corrotta dal ransomware: le misure di disaster recovery e continuità operativa (business continuity) hanno permesso di attivare molto velocemente le operazioni di rispristino dei sistemi.

Sono risultati sotto attacco i server presenti nei data center di Santarcangelo, Orzinuovi, Forlì, Thiene e L’Aquila, tutti eseguenti sistemi operativi Windows Server e VMware VSphere: la violazione di ben 5 diversi server rende difficile stabilire, ovviamente, il numero degli interessati, a ribadire comunque la portata e il peso dell'attacco. 

Dati recuperati, problema risolto?
Nella vecchia concezione della minaccia ransomware, disporre di un backup e di protocolli di disaster recovery era più che sufficiente: il problema infatti si limitava al poter rientrare o meno in possesso dei dati in chiaro. Ormai, però, il mondo ransomware è profondamente cambiato, con l'introduzione della doppia e perfino terza estorsione

Se cioè, lo schema classico prevedeva la criptazione dei sistemi e una richiesta di riscatto per concedere alla vittima il tool di decriptazione, negli ultimi anni sono stati aggiunti ulteriori livelli di ricatto:

  • una seconda nota di riscatto viene ormai inviata molto spesso: chiede un certo quantitativo di denaro per non rendere pubblici i dati rubati. Infatti praticamente tutti gli attacchi ransomware sono ormai preceduti da una fase in cui i dati sono prima di tutto esfiltrati, ovvero sottratti e inviati ai server C&C degli attaccanti, e solo in secondo step criptati. Qualora una vittima risulti restia ad avviare le contrattazioni con gli attaccanti o a pagare il riscatto per il decryptor, gli attaccanti iniziano a pubblicare, a piccole dosi, i dati rubati su appositi siti di leak;
  • un terzo livello di riscatto viene richiesto, anche se molto più raramente, quando una vittima particolarmente restia a pagare viene minacciata e poi subisce un attacco DDoS che danneggia ulteriormente sistemi e servizi. 

Questo schema di doppia o tripla estorsione è ormai quello comunemente diffuso nel mondo dei ransomware, quindi un'azienda che subisce un attacco di questo tipo non può mai escludere il data breach, ovvero che quei dati siano stati rubati ed esposti. Questo il motivo per il quale le linee guida dell'EDPB n°1/2021 specificano che ogni attacco ransomware va ritenuto anche un data breach, anzi in dettaglio, una violazione della riservatezza dei dati, a meno che non sia attivo un sistema di criptazione dei dati la cui chiave di criptazione privata non sia risultata violata durante l'attacco stesso. 

La patata bollente, adesso, passa in mano ai DPO degli enti locali e aziende coinvolti che dovranno verificare, caso per caso, la gravità del data breach. Da parte sua, Maggioli ha comunicato di aver proceduto al totale ripristino dell'operatività. 

Nessun commento:

Posta un commento