SIAE colpita da grave attacco Ransomware

Cosa è successo a SIAE?

È arrivata oggi la notizia di un grave attacco Ransomware al database della SIAE, la società italiana autori ed editori, avvenuto il 18 ottobre. 

Il gruppo Everest, che ha rivendicato l’attacco, ha sottratto circa 60 gb di dati degli artisti iscritti a SIAE. Si tratta di dati sensibili, documenti di identità, ma anche numeri di telefono , contratti e persino dati di pagamento. 

Il gruppo hacker ha chiesto come da prassi un riscatto, che in questo caso ammonta a circa 3 milioni di euro in Bitcoin, per non pubblicare i dati degli artisti nel Dark Web. 

Gaetano Blandini, direttore generale di SIAE, afferma a nome della società che non sarà pagato tale riscatto, e in una dichiarazione all’ANSA afferma:

“Abbiamo già provveduto a fare la denuncia alla polizia postale e al garante della privacy come da prassi. Verranno poi puntualmente informati tutti gli autori che sono stati soggetti di attacco. Monitoreremo costantemente l’andamento della situazione cercando di mettere in sicurezza i dati  degli iscritti della Siae”.

L’indagine è seguita dalla Polizia Postale e dal Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche). Sul dark web i cybercriminali hanno pubblicato dei piccoli pacchetti di dati, per dimostrare il successo dell’attacco.

Se non verrà pagato il riscatto i dati potrebbero essere venduti o resi pubblici gratuitamente, ovviamente sempre nel deep web. Per gli artisti colpiti quindi non c’è sicuramente modo di sfuggire a quanto è successo. 

Cos’è un Ramsonware?

Il Ransomware è uno tra gli attacchi informatici più diffusi al mondo. Come si evince da quanto successo a SIAE, un ransomware è un tipo di malware, software malevolo, che limita l’accesso del dispositivo che infetta, chiedendo un riscatto da pagare per rimuovere la limitazione. Le minacce dei cybercriminali possono essere molteplici, possono rendere inaccessibile il dispositivo o i dati personali, minacciare di rendere pubblici i dati sensibili dei clienti o dei dipendenti dell’azienda, come in questo caso, oppure rendere pubblici “segreti aziendali”. Le aziende sono i principali target di attacchi Ransomware, ma anche le istituzioni non si salvano: scuole, università e persino comuni, è successo qualche mese fa con la regione Lazio, prima ancora a Brescia, ed un anno fa persino il comune di Rieti è stato vittima di un Ransomware, attraverso il quale i criminali hanno chiesto 50 bitcoin di riscatto, quasi 450 mila euro. 

Essendo un tipo di malware, si diffonde principalmente attraverso mail spam i cui oggetti simulano file da scaricare inerenti al lavoro o alla vita personale dell’utente come fatture o documenti. Il consiglio è sempre lo stesso: fare attenzione agli allegati, eseguite backup periodici per evitare di perdere i dati rubati e cambiare spesso le password.

Come avviene il Data Breach?

In genere quando un’azienda subisce un attacco di questo tipo, quest’ultimo avviene in due modi: tramite phishing, quindi cliccando su un allegato malevolo, permettendo al virus di infettare i sistemi, oppure tramite tecniche specifiche che sfruttano le vulnerabilità dei sistemi. Il ransomware cifra i dati e li esfiltra, regalando agli attaccanti un doppio vantaggio, infatti oltre a richiedere un riscatto alla vittima di solito si procede anche con la vendita dei dati stessi sul dark web.

Il 29 Settembre la SIAE aveva emesso un comunicato in cui denunciava una campagna di phishing a suo danno. Gli SMS fanno riferimento ad una campagna “Cultura100x100” però il link non punta all’indirizzo ufficiale della petizione. Un altro SMS con riferimenti alla propria area riservata chiede di effettuare l’accesso, permettendo così agli attaccanti di rubare le credenziali.
La SIAE invita chiunque abbia cliccato il link, a cambiare le proprie impostazioni di accesso e contattarli tramite il form sul sito ufficiale della SIAE.

I dati degli artisti in vendita sul Dark web

I dati trafugati sono stati messi in vendita sul Dark Web, la cifra del riscatto pare si aggiri sui 3 milioni di Euro in Bitcoin, e gli attaccanti hanno già pubblicato dei sample dei dati sul dark web per provare la riuscita dell’attacco. Tra i dati trafugati ci sono una quantità enorme di dati personali: carte di identità, patenti, passaporti, cellulari e indirizzi.

Secondo le prime informazioni pare che siano stati esfiltrati 60 Gigabyte di dati dai database della SIAE.

Cos’è il Dark web 

Il dark web è quella parte di Internet sommersa, infatti non è possibile raggiungerla con normali browser (se non opportunamente configurati).

La scelta di utilizzare questa rete, basata sul protocollo Tor, è dettata dall’anonimato che essa consente, infatti non è possibile risalire all’identità di un utente connesso, lasciando così lo spazio per attività criminali come la rivendita di dati online.

Come ci si può proteggere da questo tipo di attacchi 

Tra gli strumenti più semplici per avere una minima base di sicurezza c’è il backup, ovviamente anche quest’ultimo deve essere tenuto al sicuro per evitare un danno “doppio”. I backup periodici permettono di ripristinare un sistema o più sistemi, ad uno stato in cui era sicuro il loro funzionamento. Un buon firewall per monitorare la banda in uscita e le connessioni in ingresso potrebbe essere un’altra delle soluzioni da applicare per aumentare la security posture della nostra azienda (questi 60giga da qualche parte sono usciti!).

Un sistema di Threat Intelligence, alimentato da ottimi feed, può fare davvero la differenza e dare la proattività che serve al momento giusto.

Nonostante le aziende possano disporre dei migliori strumenti e delle migliori persone nel team, dobbiamo ricordarci che un sistema sicuro al 100% non esiste, soprattutto quando qualcuno apre qualche allegato di troppo! Una corretta cultura aziendale sulla cybersecurity però può sicuramente prevenire attacchi di questo tipo.

I tuoi comportamenti sono a prova di hacker? Scoprilo con questa checklist: