L'attacco alla SIAE è anche questione di marketing tra gang di hacker

Un attacco ransomware ha colpito la SIAE, Società Italiana degli Autori ed Editori, l'organizzazione che gestisce i diritti di artisti del mondo dello spettacolo e della cultura a partire da quelli discografici sino a quelli televisivi ed editoriali. Stando a quanto emerso fino a ora, oltre al momentaneo blocco totale dei sistemi, sarebbero stati sottratti almeno 60GB di dati sensibili.

A rivendicare l'attacco il gruppo di Criminal Hacker Everest, come evidenziato immediatamente dagli stessi attraverso un post sul proprio sito dedicato all'esfiltrazione di dati. A quanto riportano, oltre a informazioni sui clienti SIAE, sono presenti anche dati finanziari e contratti. Il tutto è stato comunque corredato da un piccolo sample del database di informazioni rubate, comprese patenti, codici fiscali e copie di contratti sottoscritti dai clienti SIAE.

Come da prassi per tutti i gruppi ransomware, la pagina si chiude con un monito – in un inglese non esattamente perfetto – per la società vittima: "Mentre l'azienda decide di riacquistare o meno i dati, studieremo la domanda di questi dati. Con i vostri suggerimenti, si prega di contattarci (un'esortazione per altri Criminal Hacker interessati ai dati in vendita)". Ergo: la richiesta di riscatto – che comunque SIAE ha già affermato di non voler pagare – è stata presentata.

La minaccia è chiara: potrebbero mettere in vendita o pubblicare tutto quanto sottratto nell'attacco, nel caso il riscatto non venisse pagato. Una tecnica nota come Double extortion, fenomeno che ha registrato una vera e propria esplosione a partire dal 2020. Swascan stessa ha registrato nel suo studio Double extortion: la profilazione delle vittime, come l'Italia nella classifica dei Paesi più colpiti da questa tecnica si posizionasse al quinto posto nel mondo con 28 aziende che, nel periodo compreso tra Gennaio e Maggio 2021, si erano viste i propri dati sottratti e pubblicati.

Chi è Everest

Anche per chi è più immerso nel mondo della Cyber security, il nome di questo gruppo di Criminal Hacker potrebbe non essere molto familiare.

Si tratta di una gang relativamente giovane, che trae le sue origini probabilmente da un altro gruppo chiamato EverBe, ma che ha iniziato a far sentire la propria voce a cavallo tra la fine del 2020 e l'inizio del 2021, in concomitanza con la chiusura del ben più noto Maze, il primo ad adottare la tecnica della Double extortion.

Che all'interno di Everest siano confluiti membri del defunto Maze non lo possiamo sapere per certo, ma la concomitanza tra la chiusura di uno e la crescita dell'altro potrebbe non essere una coincidenza. Sta di fatto che Everest è in cerca di fama e soprattutto di partner. Si tratta, infatti, di una operazione di Ransomware as a Service, un business model del Cyber Crime, dove i creatori dell'infezione "vendono" il ransomware a degli affiliati – che poi si occupano dell'attacco in sé e per sé – in cambio di una quota di profitti. Ovviamente più affiliati riescono ad avere, maggiori saranno i loro ricavi.

E che modo migliore può esserci se non quello di attaccare aziende in grado di garantire una risonanza mediata notevole?

Sempre Everest ha recentemente annunciato di essere in possesso di accessi e dati governativi statunitensi, senza dare particolari prove su questo annuncio che viene riportato poco sopra. Un primo tentativo di autopromozione tramite atti di Criminal hacking che non aveva avuto successo. Ora con l'attacco alla SIAE, però, sono riusciti a mettere a segno un importante "colpo" di marketing – anche se nel senso più perverso del termine -.

Per contestualizzare, al momento, la generale economia del ransomware - secondo l'agenzia federale statunitense FinCEN - nel primo semestre 2021 ha raggiunto 5,3 miliardi di dollari in criptovalute.

Non a caso anche gruppi "nuovi" rischiano attaccando bersagli così importanti: il ritorno generato è smisurato per quelle che sono le risorse effettivamente impiegate.

I risvolti

Sfortunatamente non dovremmo sorprenderci troppo se, da qui in avanti, sempre più aziende italiane piccole o grandi che siano saranno vittime di questo Ransomware. Esiste già un precedente simile. Ad agosto, dopo lo stra-noto caso CED regione Lazio, infatti era stato possibile osservare l'effetto "positivo" che le storie di copertina possono avere per le gang di ransomware.

RansomEXX, l'infezione che aveva colpito, fino ad allora pressoché sconosciuta e raramente rilevata nel nostro Paese, aveva iniziato ad essere sempre di più una spina nel fianco delle società nostrane. Effetto direttamente collegato al "colpo grosso" al CED.

Everest ha sicuramente adottato questa strategia – o almeno, parte della motivazione potrebbe essere riconducibile a questo. Come già detto si tratta di una gang "giovane" che si deve costruire una reputazione e ora –– ha sicuramente centrato parte del suo obiettivo.

Sempre più ransomware

E' innegabile come il tema delle infezioni ransomware stia diventando sempre più ricorrente. Le sue evoluzioni potrebbero avere un impatto molto più ampio di quello di un "semplice" gioco di guardia e ladri come alcuni possono averlo interpretato fino all'emergere di questi casi clamorosi. La realtà è che nell'era del dato, dove ormai viviamo da tempo, questo si è trasformato nella risorsa principe. C'è chi lo chiama "il nuovo oro" oppure "il nuovo petrolio".

Uno strumento come il ransomware in grado di bloccare interi sistemi critici, potrebbe ben presto diventare qualcosa di molto più potente di un semplice mezzo per estorcere denaro. Un attacco di questo tipo è in grado di bloccare ospedali, centrali elettriche e molto altro.

Si può teorizzare che questa tecnica criminale ben presto si trasformerà in una potente leva di geopolitica, un'arma nell'arsenale degli Stati che si scontrano nel dominio digitale più che sui campi di battaglia o nelle guerre per procura.

In fondo, per uno Stato, condurre attacchi ransomware richiede un addestramento complesso e un'infrastruttura internet solida, ma la barriera economica e tecnologica per acquisire questi prerequisiti è relativamente bassa, soprattutto se confrontata con le cifre che di solito accostiamo ai vari programmi di difesa.

Non è una novita che l'arena digitale sia diventata dominante, ma fino a poca tempo fa questa sfera era parallela e complementare alla "realtà", senza poterla inficiare direttamente in modo significativo. Oggi non lo è più e l'integrazione tra fisico e digitale ha portato alla seria conseguenza che un attacco cyber può avere ricadute reali molto gravi sulla funzionalità dei sistemi sociali.

Diventa quindi ancora più imperativo investire in competenze e tecnologie di Cyber Security anche a livello Paese.

Non abbassiamo la guardia!