Il direttore generale di SIAE: “Non daremo seguito alla richiesta di riscatto” pari a 3 milioni in bitcoin. L’esperto: “I responsabili sono il gruppo Everest, un team specializzato in azioni finalizzate alla rischiesta di riscatti. Per questo usano il più delle volte anche impianti ransomware”.
Un data breach con 28mila file contenenti i dati sensibili degli iscritti a SIAE. Questo il risultato dell’attacco informatico, Everest Ransomware, sferrato nei confronti di database della società che gestisce i diritti di artisti del mondo dello spettacolo e della cultura, da quelli discografici a quelli televisivi ed editoriali.
È iniziato tutto con il phishing
“Hanno cominciato una settimana fa”, ha spiegato il direttore generale di SIAE Gaetano Blandini , “con il phishing. Hanno cioè cominciato a mandare degli Sms e dei whatsapp ad alcuni nostri associati chiedendo loro di rispondere per evitare di essere cancellati dalla Siae. Il 18 ottobre, in una mail in inglese arrivata alle 4,53 del mattino, mi veniva detto che erano stati rubati un sacco di dati sensibili della società. Mi chiedevano di contattarli ad un indirizzo di posta elettronica dando loro, entro il 25 ottobre, 3 milioni di euro in bitcoin per la restituzione dei dati. Ovviamente io non ho risposto a questa mail. L’ho trasferita ai nostri tecnici informatici, abbiamo fatto una task force, abbiamo chiamato una società specializzata nella gestione di questi attacchi informatici, di questi furti”.
“Portati via 28mila file contenenti carte d’identità, codici fiscali, brani musicali quasi tutti inediti depositati e altre informazioni”
“È venuto fuori”, ha rivelato oggi Blandini, “che effettivamente hanno acquisito delle password che servono per entrare nel cuore dei nostri sistemi informativi e si sono portati via 28mila file contenenti carte d’identità, codici fiscali, brani musicali quasi tutti inediti depositati e altre informazioni”.
“Per ora sembrerebbe non abbiano preso dati economici“. Ma è comunque alto il valore degli altri dati…
“Un nostro funzionario dell’ufficio legale”, ha fatto sapere il direttore generale, “è andato alla polizia postale a presentare una dettagliatissima denuncia con tutti i dati che finora abbiamo trovato. Faremo anche una comunicazione online al Garante della privacy perché lo richiede la legge” (la notifica entro 72 ore come previsto dal GDPR n.d.r). “Quello che dobbiamo fare”, ha aggiunto, “è individuare nome e cognome di tutti quelli cui sono stati sottratti i dati personali, associati e impiegati”. Sembra infatti che tra le persone derubate ci siano anche “nostri dipendenti. Scriveremo a tutte queste persone avvertendole che abbiamo subito un attacco informatico”. Detto questo, Blandini sottolinea che, “per ora sembrerebbe che non abbiano preso dati economici. Insomma, non hanno avuto accesso ai file che contengono l’Iban“. Una dichiarazione che fa capire la non ancora piena consapevolezza del vero valore dei dati…
Data breach con 60 gigabyte di dati
Il data breach riguarda circa 60 gigabyte di dati degli iscritti ed una parte di essi, sample, sono ora nel dark web pubblicati sul sito della gang Everest Ransomware. I dati non sono stati criptati, ma esfiltrati. La richiesta di riscatto è pari a 3 milioni in bitcoin.
“La Siae non darà seguito alla richiesta di riscatto”, ha aggiunto Blandini, sottolineando: “Abbiamo già provveduto a fare la denuncia alla polizia postale e al garante della privacy come da prassi. Verranno poi puntualmente informati tutti gli autori che sono stati soggetti di attacco. Monitoreremo costantemente l’andamento della situazione cercando di mettere in sicurezza i dati degli iscritti della Siae”.
Everest Ransomware
Everest Ransomware, spiega a Cybersecurity Italia Emanuele De Lucia, è un impianto malware nato come variante del ransomware “Everbe Ransomware 2.0” e che, di solito, ha come obiettivo entità di alto profilo. Gli operatori Everest utilizzano una pluralità di strategie per la diffusione dei loro impianti fra le quali campagne di spear-phishing, acquisto di credenziali di accesso da operatori I.A.B. (Initial Access Broker) nel deep/dark web nonché sfruttamento diretto di vulnerabilità di servizi esposti.
Everest Ransomware, le origini
Everest è un ransomware relativamente recente considerato nel dicembre 2020 come variante indipendente. Ha origine da Everbe 2.0 apparso per la prima volta nel marzo del 2018. I suoi operatori hanno già colpito aziende di costruzioni di alto profilo, catene di vendita al dettaglio, entità legali, aeroporti e un grande istituto finanziario.
In crescita i rischi legati a questa categoria di malware
Everest, secondo l’esperto di cybersecurity Emanuele De Lucia, fa parte di un particolare del trend del ransomware: è incline a coinvolgere quanti più soggetti criminali possibile nelle operazioni ransomware mediante modelli Ransomware-as-a-Service (RaaS), facendo leva sui ritorni di investimento derivanti da campagne di successo. In virtù della facilità di utilizzo e di accesso a questi programmi ed anche del numero sempre crescente di collaboratori, conclude De Lucia, è possibile prevedere in futuro un incremento dei rischi generali legati a questa categoria di malware.