Virgin Hacked? Il gruppo ransomware Clop pubblica la rivendicazione sul leak site

da Alessandro Papini | Mar 24, 2023 | News

Virgin Hacked? Sul leak site del gruppo ransomware Clop compare, tra gli altri, il gruppo Virgin. Al momento non divulgati file rubati

Ransomware Clop aggiorna la lista con 30 nuove vittime

E’ successo tutto nel corso della giornata di ieri, 23 Marzo: il gruppo ransomware Clop ha aggiunto ben 30 nomi alla lista delle proprie vittime. Tra i tanti nomi, uno spicca in particolare. Parliamo di Virgin, il noto gruppo di società di proprietà del magnate Richard Branson. Virgin è un nome che leghiamo immediatamente al mondo della musica, ma ormai il gruppo si occupa anche di voli aerei, aerospazio, viaggi, vendita al dettaglio ecc…

Secondo il leak site di Clop ransomware, le entrate della Virgin dovrebbero ammontare a 18 miliardi di dollari. Il dato è interessante perché, come abbiamo illustrato qui, capita spesso che i gruppi ransomware più avanzati colleghino l’ammontare del riscatto alle entrate dell’azienda.

Clop ransomware in breve

Cl0p è stato individuato in diffusione, la prima volta, nel 2019 come variante di CyrptoMix. Come tutti i gruppi ransomware avanzati, adotta la tecnica della doppia estorsi0ne: un riscatto per non pubblicare i file rubati, un riscatto per ottenere il decryptor e poter riportare in chiaro i file criptati. Infatti è dotato di funzionalità per l’esfiltrazione dei dati dalla rete bersaglio, prima dell’avvio della routine di criptazione.

Dopo un periodo di inattività, a cavallo tra il 2019 e il 2021, Cl0P torna alla carica e nel 2022 viene individuata anche la prima versione del ransomware per server Linux.

Di recente ha colpito anche in Italia: il sito Red Hot Cyber ha infatti individuato online la rivendicazione dell’attacco portato contro l’italiana Zucchetti Kos.

Una delle società del gruppo Virgin era stata colpita a Febbraio da un “major hack”

Nel Febbraio di quest’anno Virgin Media Television ha subito un tentativo non autorizzato di accesso ai propri sistemi, fatto che ha costretto l’azienda a chiudere temporaneamente molti dei propri canali TV in Irlanda.

Virgin Media, in quell’occasione, rese pubblica una dichiarazione:

“Il nostro monitoraggio continuo della sicurezza ha permesso di identificare un tentativo non autorizzato di accedere ai nostrio sistemi negli ultimi giorni. A causa delle precauzioni implementate, ci saranno effetti temporanei sulla trasmissione di alcuni dei nostri programmi…

Prevediamo il ritorno alla normalità del servizio appena completato il processo di revisione e verifica”

Poco dopo l’azienda confermava di aver “completamente contenuto, isolato e terminato” l’attacco in corso.

Non sono poi circolate più informazioni relative a questo “major hack”, come fu definito dal Ministro delle comunicazioni e dell’economia circolare. Di conseguenza non sappiamo se la rivendicazione di Cl0P e questo breach, siano correlati. Non ci sono infatti, al momento, dichiarazioni da parte della Virgin. Non resta che attendere l’evolvere dei fatti, attendendo la pubblicazione ( se avverrà) del sample di dati rubati dal gruppo Cl0p dalle reti Virgin.

Aggiornamento del 24/03

Un portavoce di Virgin ha dichiarato a Bleeping Computer che il data breach ha riguardato soltanto Virgin Red.

“Siamo stati recentemente contattati da un gruppo ransomware che si fa chiamare Clop, il quale ha ottenuto illegalmente alcuni file Virgin Red grazie ad un cyber attacco su un nostro fornitore, GoAnywhere”

ha dichiarato il portavoce.

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

• Predisponi un piano di backup:
  è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
• Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
  le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
• Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
  sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
• Adotta l’approccio zero trust:
  applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
• Evita di scaricare file o cliccare su link contenuti nelle email:
  spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
• Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
  come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
• Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
• Implementa un modello di sicurezza stratificato (multi livello)
  nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
  > sicurezza delle reti e dei server;
  > gestione degli endpoint;
  > gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
• Implementa sistemi di protezione preventiva:
  come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

Ferrari Hacked: il Cavallino ha ricevuto una richiesta di riscatto

da Alessandro Papini | Mar 22, 2023 | News

Ferrari Hacked: l’azienda di Maranello scopre un data breach. Ha già ricevuto una richiesta di riscatto e fatto sapere di non avere alcuna intenzione di pagare.

Ferrari Hacked: il Cavallino scopre un data breach

Ferrari ha scoperto di aver subito un data breach dopo aver ricevuto una richiesta di riscatto. Anonimi attaccanti sono riusciti a fare irruzione nei sistemi IT aziendali, quindi hanno avanzato la richiesta di riscatto per non pubblicare i dati.

“Siamo spiacenti di informarvi di un incidente informatico alla Ferrari, nel corso del quale un attore di minacce è stato in grado di accedere ad un numero limitato di sistemi nel nostro ambiente IT”

ha dichiarato Ferrari nella comunicazione ufficiale inviata ai clienti.

Qui il comunicato ufficiale pubblicato da Ferrari > INCIDENTE DI SICUREZZA INFORMATICA IN FERRARI

Quel che ancora non è chiaro e su cui Ferrari non ha fatto chiarezza è il tipo di attacco subito. Non è chiaro cioè se ci troviamo di fronte ad un attacco ransomware o ad un “semplice” tentativo di estorsione. L’azienda ha comunque fatto sapere di avere avviato un indagine in collaborazione con “una delle principali società di sicurezza informatica a livello mondiale”. Ma soprattutto ha ribadito che

“in linea con la policy aziendale, Ferrari non accoglierà nessuna richiesta di riscatto in quanto acconsentire a simili richieste finanzierebbe attività criminali e permetterebbe agli autori delle minacce di perpetuare i loro attacchi”.

L’attacco non ha interrotto l’operatività aziendale, ma ha esposto dati personali

Ferrari ha preso una serie di contromisure per mettere in sicurezza i sistemi compromessi e ha sottolineato come l’attacco non abbia avuto conseguenze né effetti sull’operatività aziendale. L’attacco ha però esposto i dati personali dei clienti. In dettaglio sono nelle mani degli attaccanti nomi e cognomi, indirizzi, indirizzi di posta elettronica e numeri di telefono.

La comunicazione inviata ai clienti sottolinea che, a seguito dell’indagine condotta, non risultano esposti dati di pagamento e/o coordinate di conti correnti bancari o altri servizi di pagamento. Anche i dati relativi a vetture Ferrari già vendute o in ordine sono al sicuro.

Sono trascorsi sei mesi dall’attacco di RansomExx

Nell’Ottobre 2022 il gruppo RansomEXX ha rivendicato un attacco sferrato con successo contro i sistemi di Ferrari SpA. La rivendicazione fu pubblicata sul leak site Tor del gruppo ed era accompagna da un sample dei file esfiltrati dalla rete IT. In dettaglio il sample era un documento riservato, su carta intestata societaria, risalente al 2005. Il gruppo ransomware rivendicava il furto di circa 7 GB di dati sensibili, la maggior parte documenti aziendali e manuali con dettagli tecnici. Non risultarono colpiti, in quel frangente, dati personali.

Per saperne di più > RansomEXX colpisce di nuovo in Italia: cosa sappiamo di questo ransomware?

La Ferrari pochi giorni dopo, confermò all’agenzia Reuters che in effetti aveva rinvenuto pubblicati nel dark web una serie di documenti interni. Non ha però mai confermato di aver subito un attacco ransomware, meno che mai da parte di RansomEXX. A tutt’oggi non è chiaro se quei dati pubblicati fossero stati trafugati proprio dal sistema IT di Ferrari o da un fornitore di terze parti. In quegli stessi giorni infatti il gruppo specializzato in data breach Everest (li ricordate? Sono quelli che “bucarono” i sistemi SIAE) confermò l’attacco contro Speroni S.p.A fornitore di Ferrari.

In ogni caso gli esperti sono inclini a pensare che l’attacco subito recentemente da Ferrari sia diverso e non abbia legami con quello precedentemente subito ad opera di RansomEXX. Nel 2022 l’analisi dei sample pubblicati portò alla conferma del fatto che i dati esfiltrati erano principalmente tecnici, mentre il breach di questi giorni ha esposto dati personali dei clienti.

Aggiornamento h. 16.00 del 22/03

Il gruppo Ares, sul proprio canale Telegram, ha reso disponibili 7 GB i dati appartenenti a Ferrari. Il gruppo Ares è specializzato in data breach.