Discussione Articolo Attacco ransomware a NorthWave noto marchio di abbigliamento sportivo made in italy

[MRPants]

"Un lunedì mattina da incubo" cosi le testate giornalistiche del settore parlano dell'inizio di questo settembre presso l'azienda bellunese Northwave, un'azienda che tratta abbigliamento sportivo. Tutti i server sono fermi, i dipendenti (una 30ina circa) mandati in ferie "forzate" e nell'azienda rimangono solo i tecnici informatici, intenti a recuperare il recuperabile.

Northwave è stata colpita da un tipo di attacco chiamato ransomware, che blocca e crittografa tutti i dati aziendali, praticamente fermando tutto l'operato dell'azienda, dai settori amministrativi alla logistica, dal magazzino alle vendite.

Sembrerebbe opera del gruppo ransomware "NoEscape". Come ormai è diventato di prassi ( purtroppo ) gli hacker hanno richiesto un riscatto enorme per l'azienda in questione, di certo non un colosso : ben 200.000 euro.

Sul sito ufficiale si legge “a causa di un problema di rete aziendale, la gestione degli ordini potrà subire dei ritardi”.

Nonostante le molte precauzioni che le aziende possono prendere per evitare questi attacchi, come addestrare il personale e utilizzare tecnologie avanzate, un aspetto importante spesso trascurato è il backup offsite.

Questo significa fare copie dei dati e tenerle in luoghi fisicamente separati dalla sede principale dell'azienda.​

Nel caso di un attacco ransomware, avere una copia sicura e aggiornata dei dati in un altro posto consente di recuperare rapidamente i dati senza dover pagare i riscatti o subire gravi perdite. Parlando di Northwave, penso che se avessero eseguito un buon backup , il problema avrebbe presentato tutt'altra portata.

Devo ammettere che anche qui informandomi in giro non si capisce bene se questa operazione sia stata fatta o meno, alcune testate la mettono giù così:

"I tecnici si trovano di fronte a ore e giorni di lavoro febbrile per cercare di ripristinare l’infrastruttura digitale che sostiene l’attività. La speranza è di salvare ciò che è possibile grazie ai server di backup offline."

Altre invece partono dal presupposto che questa operazione sia venuta meno, cito:

"Tornando al caso Northwave, si potrebbe ipotizzare che un adeguato backup offsite avrebbe potuto ridurre i tempi di fermo e le perdite economiche ."

Non è semplice capire chi abbia ragione , ma almeno da quello che si legge e dalla gravità che sembra riportata , si è portati a pensare che i backup non siano stati recuperati o comunque non in modo sufficiente a riprendere l'attività a pieno regime.

Provando a fare ricerche in merito alle contromisure adottate dall'azienda colpita si fa fatica a capire quali o come siano state adottate, su qualche si accenna all'adozione di una politica "Zero-trust" "Le precauzioni includono l’adozione di una mentalità “zero trust” – non fidarsi di nessuno – e investire in tecnologia e formazione del personale." che alla luce di quanto accaduto si è rivelata insufficiente. Considerazioni a riguardo nei commenti a seguire, ce ne sarebbero molte.

Sbalordito io personalmente dalla dichiarazione ( non si capisce se dei giornali o dell'azienda stessa ) riguardo l'accaduto, che viene definito come «situazione antipatica» , come a voler banalizzare la cosa a un evento casuale e antipatico , quasi dovuto.

Singolari le parole del giornale trevigiano che descrivono un attacco informatico come un evento inevitabile , nel quale l'unica cosa importante è tornare online senza capire il perché e il percome , senza preoccuparsi di lavorare sui propri asset di security , cito testualmente :

"L’obiettivo dei cyber-criminali non è l’attacco frontale, bensì l’accesso a qualche “porta esterna”, più vulnerabile. Difendersi è molto difficile, quasi impossibile: prima o poi verrai colpito, è praticamente un dato di fatto. Detto ciò, devi essere in grado di tornare online prima possibile: il tempo di reazione misura la tua impreparazione e quanto gli hacker sono riusciti a colpirti a fondo. Non si resetta tutto in due ore, in media per tornare online ne servono almeno 72."

Nonostante si tenda a minimizzare l'accaduto , Il bottino sembra essere tutto tranne che banale , si tratta di 250 GB di dati sensibili interni , come riportato dal messaggio del gruppo:

"L'azienda è stata crittografata e compromessa con successo.

Abbiamo 248 gigabyte di dati, vale a dire: dati di Outlook da 230 GB; dati di registro dal 1998 al 2023; oltre 10. 000 file di conferma d'ordine; oltre 50.000 documenti di trasporto depositati; oltre 90. 000 note di credito e fatture archiviate; oltre 50.000 ordini di spedizione file; oltre 1.500 file report settimanali; oltre 800 file di estratto conto cliente. E molti altri documenti aziendali importanti e riservati.

Se continui a rimanere in silenzio e non ci contatti, tutti i dati verranno pubblicati e la tua reputazione verrà distrutta. Dopotutto, ciascuno dei tuoi futuri clienti dovrà pensarci due volte prima di collaborare con te.

Ma se sei pronto a proteggere i tuoi dati e quelli dei tuoi clienti, contattaci il prima possibile, ti aiuteremo a risolvere questo problema."

Stando a quanto dichiarato dal gruppo sembrerebbe un po' più grave di una "situazione antipatica", ovviamente si spera in un mezzo bluff.

Chi sono i noEscape ? sappiamo che come regola hanno il non colpire stati ex-membri dell'unione sovietica, quindi probabilmente sono un gruppo di matrice filo-russa e utilizzano Salsa20 come chiave crittografica, qui un articolo d'approfondimento che consiglio di leggere: Meet NoEscape: Avaddon ransomware gang's likely successor.

Molti "mha" e molti "bho" leggendo i vari articoli e cercando di farsi un idea. Probabilmente una situazione facilmente evitabile con i dovuti provvedimenti.

Fonti:

• Tribuna di Treviso: Northwave: azienda paralizzata da attacco ransomware
• Tribuna di Treviso: Attacco hacker alla Northwave Lavoratori a casa
• Tribuna di Treviso: Ultimatum alla Northwave «Rubati 248 giga, fuori i soldi»
• Daily.movingwords.it: Un Lunedì Mattina da Incubo: l’Attacco Hacker che ha Colpito l’italiana Northwave
• Cybertrends.it: Attacco hacker a Northwave. L’azienda italiana dello sportsystem ferma da lunedì
• news.soluzionidigitali.it: Le scarpe di Ganna sotto attacco hacker. Northwave paralizzata, lavoratori a casa

Lascio a voi la parola, nel mentre un grazie per la lettura.

 

[TheWorm91]

Non mi capacito di come siano così diffusi questi attacchi ransomware!
Sarebbe interessante capire come è partito l'attacco e quale sia il vettore (anche se tutti penso ce lo immaginiamo).
In ogni caso non me la sento di incolpare completamente nè i dipendenti nè il reparto IT.
Non mi stancherò mai di dire che la questione andrebbe presa più seriamente soprattutto dalle istituzioni che dovrebbero fare leggi ad hoc per queste situazioni anche se non riguardano organi istituzionali pubblici.

Non voglio essere drastico però per me sarebbe una buona idea rendere obbligatorio per legge ai dipendenti che lavorano con il computer avere una "patente" per l'uso del PC senza la quale non si è autorizzati all'uso di un terminale.

Altra idea sarebbe condividere pubblicamente report con i dettagli dell'incidente (ovviamente non i dati sensibili) attraverso portali o forum specifici per prevenzione verso le altre aziende e per comprendere i meccanismi degli attacchi.

 

[MRPants]

Non mi capacito di come siano così diffusi questi attacchi ransomware!
Sarebbe interessante capire come è partito l'attacco e quale sia il vettore (anche se tutti penso ce lo immaginiamo).
In ogni caso non me la sento di incolpare completamente nè i dipendenti nè il reparto IT.
Non mi stancherò mai di dire che la questione andrebbe presa più seriamente soprattutto dalle istituzioni che dovrebbero fare leggi ad hoc per queste situazioni anche se non riguardano organi istituzionali pubblici.

Non voglio essere drastico però per me sarebbe una buona idea rendere obbligatorio per legge ai dipendenti che lavorano con il computer avere una "patente" per l'uso del PC senza la quale non si è autorizzati all'uso di un terminale.

Altra idea sarebbe condividere pubblicamente report con i dettagli dell'incidente (ovviamente non i dati sensibili) attraverso portali o forum specifici per prevenzione verso le altre aziende e per comprendere i meccanismi degli attacchi.

Anche secondo me , magari più che la patente istituire delle figure obbligatorie addette x ogni azienda e in contemporanea aprire un ufficio dedicato x ogni regione , perché la postale non è preparata e non riesce secondo me a fare fronte ad eventi del genere , ma soprattutto delle figure obbligatorie ed è più che fattibile , nel mondo del lavoro sono state inserite obbligatorie tante cose poco utili , questa sarebbe una cosa da fare.

Devono solo capire che questi eventi significano soldi persi , sempre a treviso un azienda si è persa 99k ; sono state intercettate delle mail ed è stato modificato l'indirizzo di fatturazione ( su un semplice pdf tra l'altro ) , per non parlare poi della perdita di know-how.

Faccio un esempio in grande : la Cina in campo aviazione militare è subentrata da pochissimi anni , 60 anni fa' avevano i biplani e ora hanno messo al mondo un gioiellino come il J-20 , al pari di f-22 ed f-35 con la differenza che l'occidente ha speso miliardi e decenni , la Cina c'è arrivata in pochissimi anni e con un budget alla difesa che è una frazione di quello americano, e questo appunto con operazioni di cyberwarfare alle aziende produttrici dei vari elementi;

Questo per dire che poi non è solo un problema di soldi e servizi down , ma anche di furto del know-how della tua attività, che è forse la cosa più importante...

Vedremo i risultati, siamo agli inizi visto che questo tam-tam di attacchi è partito nel 2020 i risultati li asseggeremo tra qualche anno

 

[--- Ra ---]

Non mi stancherò mai di dire che la questione andrebbe presa più seriamente soprattutto dalle istituzioni che dovrebbero fare leggi ad hoc per queste situazioni anche se non riguardano organi istituzionali pubblici.

Concordo. Spesso attacchi informatici di questo tipo possono comportare anche il fallimento di un'azienda. Avere un'azienda in meno sul territorio Italiano significa avere meno produttività, meno economia che gira, ma soprattutto perdita di posti di lavoro.

Non voglio essere drastico però per me sarebbe una buona idea rendere obbligatorio per legge ai dipendenti che lavorano con il computer avere una "patente" per l'uso del PC senza la quale non si è autorizzati all'uso di un terminale.

Potrebbe essere una buona soluzione dal punto di vista della sicurezza, ma una pessima scelta dal punto di vista del marketing, che è l'aspetto che interessa maggiormente i venditori di computer. Inserire l'obbligo di un "patentino" probabilmente abbasserebbe drasticamente il numero di vendite e questo non è positivo per i portafogli dei produttori.

Altra idea sarebbe condividere pubblicamente report con i dettagli dell'incidente (ovviamente non i dati sensibili) attraverso portali o forum specifici per prevenzione verso le altre aziende e per comprendere i meccanismi degli attacchi.

È molto complicato, in quanto fare qualcosa del genere significa, per l'azienda, ammettere pubblicamente che ci sono dei gravi problemi interni (in questo caso l'aspetto della sicurezza informatica) e questo peggiora la reputazione e l'immagine dell'impresa stessa sul mercato. Il punto, però, è che alla fine le informazioni trapelano fuori ugualmente e, in ogni caso, le conseguenze per l'azienda sono negative. A questo punto è lecito chiedersi: "Dato che l'azienda ci rimette in entrambi i casi, perché non rendere pubbliche le informazioni su come si è verificato l'incidente? Almeno si aiuta qualcun altro". La risposta, secondo la mia opinione, è per due motivi principali:

1) Sostanzialmente l'azienda non ha alcun vantaggio diretto nel farlo, quindi non è interessata.
2) Pubblicare i propri errori permette alle altre aziende, in competizione tra loro, di imparare dagli errori di chi ha sbagliato ed acquisire un vantaggio nel mercato. Questo ovviamente non piace all'azienda "cavia". Esempio: Steve Jobs agiva in questo modo. Aspettava che i suoi competitor entrassero nel mercato per stabilire le potenzialità dei loro prodotti e per valutarne gli errori, poi subentrava lui con la sua produzione già "perfetta", calibrata sugli errori altrui.

Messaggio unito automaticamente: 25 Settembre 2023

Questo per dire che poi non è solo un problema di soldi e servizi down , ma anche di furto del know-how della tua attività, che è forse la cosa più importante...

Più che furto di know-how, che è un insieme di pratiche spesso difficili da trasmettere da una parte all'altra del mondo, io parlerei di furto di informazioni segrete, necessarie per la realizzazione di un prodotto di alta gamma oppure di un servizio di alta qualità. Mi spiego con un esempio, facciamo finta che noi di Inforge abbiamo un'impresa che produce dei biscotti adorati in tutto il mondo. Per la preparazione utilizziamo un ingrediente speciale, segreto, il cui nome è custodito in un sistema informatico. Una violazione del nostro sistema digitale causa la perdita di un'informazione confidenziale, che solo noi avremmo dovuto sapere. Per questo parlo di informazione trafugata piuttosto che di know-how. Spero di essermi spiegato.

 

[TheWorm91]

Potrebbe essere una buona soluzione dal punto di vista della sicurezza, ma una pessima scelta dal punto di vista del marketing, che è l'aspetto che interessa maggiormente i venditori di computer. Inserire l'obbligo di un "patentino" probabilmente abbasserebbe drasticamente il numero di vendite e questo non è positivo per i portafogli dei produttori.

Si vero.
Però intendo solo per uso aziendale, come viene richiesto un diploma o un attestato HACCP per lavorare con gli alimenti mi sembrerebbe giusto introdurre una certificazione per chi lavora al pc e magari tratta anche dati sensibili e importanti.
Sapere che i miei dati personali sono trattati da un impiegato cialtrone che potrebbe mettermi a rischio non mi farebbe piacere...

Nell'organizzazione dove lavoro ho convinto i dirigenti ad acquistare un corso di formazione di cybersecurity per tutti i dipendenti, spero porti buoni risultati...

Nelle aziende vengono fatti i corsi per la sicurezza individuale e non vedo perchè non farne uno sulla sicurezza informatica (che farebbe anche risparmiare soldi e figuracce all'azienda).

È molto complicato, in quanto fare qualcosa del genere significa, per l'azienda, ammettere pubblicamente che ci sono dei gravi problemi interni (in questo caso l'aspetto della sicurezza informatica) e questo peggiora la reputazione e l'immagine dell'impresa stessa sul mercato. Il punto, però, è che alla fine le informazioni trapelano fuori ugualmente e, in ogni caso, le conseguenze per l'azienda sono negative. A questo punto è lecito chiedersi: "Dato che l'azienda ci rimette in entrambi i casi, perché non rendere pubbliche le informazioni su come si è verificato l'incidente? Almeno si aiuta qualcun altro". La risposta, secondo la mia opinione, è per due motivi principali:

1) Sostanzialmente l'azienda non ha alcun vantaggio diretto nel farlo, quindi non è interessata.
2) Pubblicare i propri errori permette alle altre aziende, in competizione tra loro, di imparare dagli errori di chi ha sbagliato ed acquisire un vantaggio nel mercato. Questo ovviamente non piace all'azienda "cavia". Esempio: Steve Jobs agiva in questo modo. Aspettava che i suoi competitor entrassero nel mercato per stabilire le potenzialità dei loro prodotti e per valutarne gli errori, poi subentrava lui con la sua produzione già "perfetta", calibrata sugli errori altrui.

Hai ragione a questo non avevo proprio pensato, lavorando per un ente pubblico in questo ambiente c'è un'altra mentalità rispetto al privato e non ho preso in considerazione questi aspetti da te elencati.
Per esempio (non voglio andare off topic) nella pubblica amministrazione si sta spingendo molto sull'open data, formato aperto e uso di software open source.
Adesso che è stato rinnovato il sito web dell'ente con un cms open source come da direttive AgID dobbiamo pubblicare il codice su un repository pubblico (nel mio caso GitHub ma vanno bene altri) per essere aggiunto a un catalogo a cui altri enti possono attingere nel caso volessero rinnovare anche loro il sito web.
Questo è positivo perchè promuove la collaborazione oltre che a portare un bel risparmio di soldi della collettività e servizi più efficienti ed uniformi tra i vari enti.

 

[--- Ra ---]

Nell'organizzazione dove lavoro ho convinto i dirigenti ad acquistare un corso di formazione di cybersecurity per tutti i dipendenti, spero porti buoni risultati...

Hai fatto una gran bella cosa Worm! Se tutti gli addetti alla sicurezza fossero così scrupolosi ci sarebbero molti meno incidenti in giro.

Per esempio (non voglio andare off topic) nella pubblica amministrazione si sta spingendo molto sull'open data

È sicuramente una buona soluzione, poi ci sarebbero anche qui pro e contro, come in ogni cosa (vedi il caso di cui parlava 0xbro relativo a Porchetta Industries).