Ultima modifica da un moderatore:
"Un lunedì mattina da incubo" cosi le testate giornalistiche del settore parlano dell'inizio di questo settembre presso l'azienda bellunese Northwave, un'azienda che tratta abbigliamento sportivo. Tutti i server sono fermi, i dipendenti (una 30ina circa) mandati in ferie "forzate" e nell'azienda rimangono solo i tecnici informatici, intenti a recuperare il recuperabile.
Northwave è stata colpita da un tipo di attacco chiamato ransomware, che blocca e crittografa tutti i dati aziendali, praticamente fermando tutto l'operato dell'azienda, dai settori amministrativi alla logistica, dal magazzino alle vendite.
Sembrerebbe opera del gruppo ransomware "NoEscape". Come ormai è diventato di prassi ( purtroppo ) gli hacker hanno richiesto un riscatto enorme per l'azienda in questione, di certo non un colosso : ben 200.000 euro.
Sul sito ufficiale si legge “a causa di un problema di rete aziendale, la gestione degli ordini potrà subire dei ritardi”.
Nonostante le molte precauzioni che le aziende possono prendere per evitare questi attacchi, come addestrare il personale e utilizzare tecnologie avanzate, un aspetto importante spesso trascurato è il backup offsite.
Questo significa fare copie dei dati e tenerle in luoghi fisicamente separati dalla sede principale dell'azienda.
Nel caso di un attacco ransomware, avere una copia sicura e aggiornata dei dati in un altro posto consente di recuperare rapidamente i dati senza dover pagare i riscatti o subire gravi perdite. Parlando di Northwave, penso che se avessero eseguito un buon backup , il problema avrebbe presentato tutt'altra portata.
Devo ammettere che anche qui informandomi in giro non si capisce bene se questa operazione sia stata fatta o meno, alcune testate la mettono giù così:
"I tecnici si trovano di fronte a ore e giorni di lavoro febbrile per cercare di ripristinare l’infrastruttura digitale che sostiene l’attività. La speranza è di salvare ciò che è possibile grazie ai server di backup offline."
Altre invece partono dal presupposto che questa operazione sia venuta meno, cito:
"Tornando al caso Northwave, si potrebbe ipotizzare che un adeguato backup offsite avrebbe potuto ridurre i tempi di fermo e le perdite economiche ."
Non è semplice capire chi abbia ragione , ma almeno da quello che si legge e dalla gravità che sembra riportata , si è portati a pensare che i backup non siano stati recuperati o comunque non in modo sufficiente a riprendere l'attività a pieno regime.
Provando a fare ricerche in merito alle contromisure adottate dall'azienda colpita si fa fatica a capire quali o come siano state adottate, su qualche si accenna all'adozione di una politica "Zero-trust" "Le precauzioni includono l’adozione di una mentalità “zero trust” – non fidarsi di nessuno – e investire in tecnologia e formazione del personale." che alla luce di quanto accaduto si è rivelata insufficiente. Considerazioni a riguardo nei commenti a seguire, ce ne sarebbero molte.
Sbalordito io personalmente dalla dichiarazione ( non si capisce se dei giornali o dell'azienda stessa ) riguardo l'accaduto, che viene definito come «situazione antipatica» , come a voler banalizzare la cosa a un evento casuale e antipatico , quasi dovuto.
Singolari le parole del giornale trevigiano che descrivono un attacco informatico come un evento inevitabile , nel quale l'unica cosa importante è tornare online senza capire il perché e il percome , senza preoccuparsi di lavorare sui propri asset di security , cito testualmente :
"L’obiettivo dei cyber-criminali non è l’attacco frontale, bensì l’accesso a qualche “porta esterna”, più vulnerabile. Difendersi è molto difficile, quasi impossibile: prima o poi verrai colpito, è praticamente un dato di fatto. Detto ciò, devi essere in grado di tornare online prima possibile: il tempo di reazione misura la tua impreparazione e quanto gli hacker sono riusciti a colpirti a fondo. Non si resetta tutto in due ore, in media per tornare online ne servono almeno 72."
Nonostante si tenda a minimizzare l'accaduto , Il bottino sembra essere tutto tranne che banale , si tratta di 250 GB di dati sensibili interni , come riportato dal messaggio del gruppo:
"L'azienda è stata crittografata e compromessa con successo.
Abbiamo 248 gigabyte di dati, vale a dire: dati di Outlook da 230 GB; dati di registro dal 1998 al 2023; oltre 10. 000 file di conferma d'ordine; oltre 50.000 documenti di trasporto depositati; oltre 90. 000 note di credito e fatture archiviate; oltre 50.000 ordini di spedizione file; oltre 1.500 file report settimanali; oltre 800 file di estratto conto cliente. E molti altri documenti aziendali importanti e riservati.
Se continui a rimanere in silenzio e non ci contatti, tutti i dati verranno pubblicati e la tua reputazione verrà distrutta. Dopotutto, ciascuno dei tuoi futuri clienti dovrà pensarci due volte prima di collaborare con te.
Ma se sei pronto a proteggere i tuoi dati e quelli dei tuoi clienti, contattaci il prima possibile, ti aiuteremo a risolvere questo problema."
Stando a quanto dichiarato dal gruppo sembrerebbe un po' più grave di una "situazione antipatica", ovviamente si spera in un mezzo bluff.
Chi sono i noEscape ? sappiamo che come regola hanno il non colpire stati ex-membri dell'unione sovietica, quindi probabilmente sono un gruppo di matrice filo-russa e utilizzano Salsa20 come chiave crittografica, qui un articolo d'approfondimento che consiglio di leggere: Meet NoEscape: Avaddon ransomware gang's likely successor.
Molti "mha" e molti "bho" leggendo i vari articoli e cercando di farsi un idea. Probabilmente una situazione facilmente evitabile con i dovuti provvedimenti.
Fonti:
- Tribuna di Treviso: Northwave: azienda paralizzata da attacco ransomware
- Tribuna di Treviso: Attacco hacker alla Northwave Lavoratori a casa
- Tribuna di Treviso: Ultimatum alla Northwave «Rubati 248 giga, fuori i soldi»
- Daily.movingwords.it: Un Lunedì Mattina da Incubo: l’Attacco Hacker che ha Colpito l’italiana Northwave
- Cybertrends.it: Attacco hacker a Northwave. L’azienda italiana dello sportsystem ferma da lunedì
- news.soluzionidigitali.it: Le scarpe di Ganna sotto attacco hacker. Northwave paralizzata, lavoratori a casa
Lascio a voi la parola, nel mentre un grazie per la lettura.