L’ennesimo attacco informatico che colpisce l’Italia ha come obiettivo Conad, il consorzio di imprenditori indipendenti del commercio al dettaglio con sede a Bologna e che gestisce l’omonima catena di supermercati.
L’attacco non avrebbe avuto impatti sull’operatività del sito, ma avrebbe permesso ai cyber criminali di sottrarre documenti riservati che i pirati informatici minacciano di rendere pubblici se Conad non paga un “riscatto” entro 72 ore.
La formula del ransomware 2.0
L’attacco si colloca in quella che ormai è una strategia consolidata dei gruppi criminali specializzati in ransomware. Se nella versione “classica” gli attacchi ransomware prevedevano l’utilizzo di un malware in grado di crittografare i dati sui server compromessi e bloccarne così le attività, il nuovo corso dei pirati informatici mira anche alla differenza di documenti e informazioni confidenziali che vengono usati come leva per estorcere un riscatto alle aziende colpite. Se non pagano, i documenti vengono pubblicati.
di consueto, questo schema porta a quella che nel settore della cyber security viene definita “doppia estorsione”. Un primo riscatto viene chiesto per ottenere la chiave crittografica che permette di sbloccare i sistemi, mentre il secondo pagamento viene chiesto per non rendere pubblici i documenti sottratti.
Sempre più spesso, però, le cyber-gang specializzate in estorsioni puntano solo sul secondo aspetto, limitandosi a rubare le informazioni dai sistemi informatici delle vittime, come è successo nel recente caso del Bologna FC.
Che cosa sappiamo dell’attacco
La rivendicazione dell’attacco è comparsa sul Dark Web a opera del gruppo Lynx, che sul suo “sito di rappresentanza” ha pubblicato la segnalazione dell’avvenuto attacco accompagnato da un conto alla rovescia che indica il tempo a disposizione di Conad per contattare i cyber criminali e pagare il riscatto. Il countdown, mentre scriviamo, indica poco più di 3 giorni di tempo per avviare i contatti che dovrebbero portare al pagamento.
Lynx non è uno dei gruppi ransomware più attivi, ma l’elenco delle vittime pubblicato sul sito comprende alcune decine di aziende. Come da uso, per ogni vittima vengono pubblicati alcuni documenti come prova della veridicità della rivendicazione.
Le informazioni sottratte a Conad
Nel caso di Conad, il gruppo Lynx sembra essersi limitato a esfiltrare i documenti, senza provocare danni all’infrastruttura IT del consorzio. Il sito web di Conad e i servizi telematici, infatti, funzionano regolarmente. I cyber criminali, inoltre, non forniscono nessuna indicazione della quantità di dati sottratti ma si limitano a definirli come relativi a “risorse umane e clienti”.
I file visibili (ma pubblicati in modo che siano difficilmente leggibili) sono versioni digitalizzate di documenti cartacei e comprendono capitolati, oltre a corrispondenze con clienti e fornitori.
Informazioni particolarmente “sensibili”, soprattutto per una realtà che opera in un settore, come quello della vendita al dettaglio di generi alimentari, in cui gli accordi commerciali hanno un forte impatto sul business ed eventuali informazioni riservate possono avere pesanti conseguenze a livello di reputazione.
I nostri tentativi di contattare Conad non hanno dato risultati e l’azienda, per il momento, non ha rilasciato alcuna dichiarazione ufficiale sulla vicenda.
Leggi tutto su www.wired.it
di Marco Schiaffino www.wired.it 2025-01-14 13:51:00 ,
