La risposta di Accenture: “Durante lo svolgimento dei nostri protocolli di sicurezza abbiamo identificato attività irregolari in uno dei nostri ambienti. L’incidente è stato prontamente contenuto ed i server colpiti immediatamente isolati. Non c’è stato alcun impatto sulle operations di Accenture e sui sistemi dei nostri clienti”.
Nel dark web sul sito del gruppo LockBit è apparsa la rivendicazione dell’attacco ransomware ai danni di Accenture. L’azienda, che offre una pluralità di servizi tecnologici ad importanti clienti, al momento, ha rilasciato la seguente ufficiale:
“Durante lo svolgimento dei nostri protocolli di sicurezza abbiamo identificato attività irregolari in uno dei nostri ambienti. L’incidente è stato prontamente contenuto ed i server colpiti immediatamente isolati. Non c’è stato alcun impatto sulle operations di Accenture e sui sistemi dei nostri clienti”.
Stando al messaggio di rivendicazione con cui è stato chiesto il riscatto “per alcuni dei database” criptati, sappiamo che i cracker sono gli stessi che hanno colpito nei primi giorni di agosto anche Erg, Salini e Gicinque.
“L’attacco, rivendicato dal gruppo LockBit, qualora confermato, risulterebbe molto grave e potrebbe potenzialmente condurre a conseguenze devastanti considerando il parco clienti della Società. Accenture è una realtà enorme e molto strutturata. Possiamo aspettarci piani di recupero efficaci e reattivi in caso l’incidente abbia causato indisponibilità di file e documenti”, spiega a Cybersecurity Italia Emanuele De Lucia, l’esperto di cybersecurity.
“A destare preoccupazione, tuttavia”, aggiunge, “è il fatto che LockBit minaccia la pubblicazione di dati ed informazioni ad essa relativi ed ha fornito pochissime ore per portare a termine la trattativa probabilmente al fine di aumentare i livelli di pressione verso una vittima così illustre”.
“Possiamo aspettarci”, conclude De Lucia, “una richiesta di riscatto molto corposa considerando che la cifra media richiesta ultimamente per i riscatti si aggira intorno i 5 milioni di dollari”.
Chi c’è dietro LockBit?
Se dietro il RansomEXX, che ha colpito i sistemi informatici della Regione Lazio e dell’azienda di abbigliamento Zegna, c’è il gruppo di cyber-criminali “Sprite Spider”, LockBit è una “crew” di criminali informatici che opera dalla Russia e da ex Paesi dell’Unione Sovietica.
Come agisce il gruppo criminale LockBit?
LockBit conosce molto bene le vittime eccellenti. È composto da due crew:
- L’hub di criminali informatici che si occupa di sviluppare il Ransomware as a service (RaaS)
- Gruppo di affiliati che si occupa dell’“amministrativo”, che chiede il riscatto in base alla dimensione e al fatturato dell’azienda. Una volta ottenuto il pagamento del riscatto, gli affiliati trasferiscono, in genere, il 60-70% agli sviluppatori del RaaS.