Ieri è apparso un post all’interno del data leak site (DLS) della cybergang Everest che riporta una nuova violazione, questa volta ai danni della sede SIAE di Alessandria.
Sembra una storia infinita quella tra la cybergang Everest Ransomware e la Società Italiana Autori ed Editori. Ieri è apparso un post all’interno del data leak site (DLS) di Everest che riporta una nuova violazione, questa volta ai danni della sede SIAE di Alessandria.
#Ransom | #Ransomware: la notizia del giorno è che @SIAE_Official ci è ricascata: di nuovo #Everest vs. #SIAE Alessandria (Piemonte) pic.twitter.com/P6MD4f31bF
— Claudio (@sonoclaudio) April 7, 2022
La cybergang riporta il numero di telefono della sede di Alessandria e la mail di contatto info.autorieditori@siae.it, oltre che il sito istituzionale www.siae.it. Se il nuovo leak fosse confermato si tratterebbe di una nuova grave falla dei sistemi della società che gestisce i diritti d’autore di migliaia di artisti italiani, dimostrando la totale inadeguatezza nella protezione dei dati dei propri clienti.
“L’attacco emerso su SIAE in queste ore riapre una riflessione molto importante nel settore. Quando si gestisce un incidente, non possiamo limitarci a ripristinare i sistemi ma è fondamentale sia analizzare le cause dello stesso che migliorare la postura generale. La resilienza, di cui tanto si parla e si scrive negli ultimi mesi, è proprio questa”, ha dichiarato a Cybersecurity Italia Gerardo Costabile, CEO di DeepCyber.
L’attacco di Everest a SIAE di ottobre. Rubati oltre 60 giga di dati
Lo scorso 20 ottobre il gruppo di attaccanti Everest ha fatto irruzione nei sistemi informatici della SIAE esfiltrando i dati personali di dipendenti, dirigenti e ovviamente, artisti.
I dati rubati sono stati pubblicati a piccole dosi nel sito che il gruppo Everest utilizza per le estorsioni. 60 GB i dati rubati, un totale di 28.000 documenti, per i quali era stato richiesto, in prima battuta un riscatto di 3 milioni di euro, sceso poi a 500mila fino ad arrivare a 300mila dollari.
I dati esfiltrati di SIAE
La SIAE ha pubblicato la prima dichiarazione sui fatti il 21 ottobre, specificando che:
“SIAE, sulla base delle evidenze ad oggi raccolte, informa i propri associati, mandanti, dipendenti, utilizzatori del repertorio che un gruppo criminale ha effettuato la copia di taluni file presenti nel sistema documentale della Società, prevalentemente file pdf”.
La nota prosegue elencando la tipologia di dati rubati, ovvero:
- dati anagrafici;
- dati di contatto (mail, numeri telefonici);
- dati bancari (IBAN);
- dati riportati su documenti di identità;
- dati riportati sui moduli di adesione a SIAE relativi prevalentemente agli anni 2019 e 2020.
- Uno dei documenti di identità finiti in vendita nel dark web
Everest Ransomware, le origini
Everest Ransomware, ha spiegato a Cybersecurity Italia Emanuele De Lucia, è un impianto malware nato come variante del ransomware “Everbe Ransomware 2.0” e che, di solito, ha come obiettivo entità di alto profilo. Gli operatori Everest utilizzano una pluralità di strategie per la diffusione dei loro impianti fra le quali campagne di spear-phishing, acquisto di credenziali di accesso da operatori I.A.B. (Initial Access Broker) nel deep/dark web nonché sfruttamento diretto di vulnerabilità di servizi esposti.
Everest è un ransomware relativamente recente considerato nel dicembre 2020 come variante indipendente. Ha origine da Everbe 2.0 apparso per la prima volta nel marzo del 2018. I suoi operatori hanno già colpito aziende di costruzioni di alto profilo, catene di vendita al dettaglio, entità legali, aeroporti e un grande istituto finanziario.