Introduzione
Il sito Web ufficiale di Postel risulta essere offline ormai da diverse ore, a seguito di un attacco informatico di tipo ransomware contro la propria infrastruttura e – aspetto più critico di tutti – relativo furto di dati. Il disservizio potrebbe proprio essere generato in risposta all’incidente, per seguire in maniera sicura le azioni di ripristino necessarie.
Storia
“L’attacco rivendicato dal gruppo Medusa Locker ha sicuramente catalizzato l’attenzione dei media nelle ultime ore essendo l’azienda colpita, Postel, parte del Gruppo Poste. Proprio il Gruppo Poste è riconosciuto come tra i più avanzati in tema di sicurezza delle proprie infrastrutture”, dice a Cybersecurity360 Pierluigi Paganini, esperto di cyber security e CEO di Cybhorus. “Questi attacchi, tuttavia, ci rammentano che nessuna azienda è al sicuro e che un attaccante potrebbe sfruttare una qualunque falla per penetrare le sue reti e condurre attività malevole, come la diffusione di un ransomware”, continua l’esperto.
L’attacco è stato rivendicato dal gruppo di ransomware nella giornata di ieri e la piattaforma online DRM – Dashboard Ransomware Monitor, l’ha prontamente rilevato pubblicamente.
A giudicare dai sample che il gruppo criminale ha riportato, a riprova dell’attacco avvenuto con successo, sembra che le strutture interne colpite siano quelle relative alla conservazione dei dati dei dipendenti. Non sembrano invece essere presenti documenti e dati di clienti dell’azienda. Tuttavia il gruppo Medusa ha fissato un conto alla rovescia di otto giorni, prima di pubblicare online l’intero bottino rubato, se non si pagherà il riscatto richiesto. 500mila dollari è la cifra richiesta per l’ostaggio di dati rubati a Postel SpA.
Come abbiamo visto dunque, gli impatti peggiori dell’attacco sono ricaduti sui dipendenti. Le procedure interne all’azienda hanno reso possibile il furto di un elevato numero di files riservati, contenenti dati (anche sensibili) dei dipendenti di Postel. Questo contenuto, come sempre accade negli attacchi ransomware, dopo esser stato rubato, viene distrutto localmente e reso inaccessibile se non in possesso della chiave di decriptazione, oggetto proprio del riscatto richiesto.
Questa difficoltà, come assicura anche l’azienda, viene sicuramente superata con un backup aggiornato dei sistemi impattati. Ma tale attività non basterà per garantire il superamento di un attacco come questo. Infatti una volta che tali documenti sono usciti fuori dalle “mura” telematiche della società, si possono considerare persi per sempre. E da questo momento in mani non autorizzate. Questo problema (irrisolvibile se non con la prevenzione), creerà gravi problemi di privacy verso le persone intestatarie di quei dati (i dipendenti della società), e tali dati verranno quasi certamente adoperati per altri attacchi mirati, contro le singole persone cui i dati si riferiscono, creando altri problemi di sicurezza quando, presumibilmente, la maggior parte degli utenti si sarà dimenticato di quanto avvenuto durante questo ferragosto a Postel.
Per questo resta di grande importante, per tutte le persone interessate, prestare massima attenzione ad eventuali future comunicazione non attese, sia in ambito lavorativo che personale (i dati che sono stati persi contengono anche documenti personali, come indirizzi di residenza, tramite copie di carta d’identità, numeri di telefono o indirizzi email), e verificare sempre concretamente eventuali richieste ricevute per le vie brevi.
Conclusione
Il comunicato di Poste Italiane e le operazioni di ripristino
“In data 15 agosto 2023, il gruppo criminale Medusa ha rivendicato tali attività, pubblicando, sul proprio blog, la notizia di un attacco ransomware effettuato sui sistemi di Postel S.p.A. Attualmente risultano essere stati interessati solo dati interni all’azienda”, spiega Poste Italiane in un comunicato per la controllata.
Allo stato attuale le operazioni di ripristino sono in corso di completamento, mentre invece la catena interna per le lavorazioni quotidiane è già stata ripristinata.
“Tornando al caso specifico, riconosciamo negli eventi uno schema consolidato di doppia estorsione. L’azienda colpita tuttavia è riuscita in tempi brevissimi a ripristinare i propri sistemi così come ad individuare attività sospette ed agire tempestivamente. Teniamo presente inoltre il timing dell’attacco, avvenuto in un momento critico per la quasi totalità delle imprese italiane, ovvero a cavallo di ferragosto”, spiega ancora Paganini che continua, “tutto ciò però potrebbe non bastare in quanto, stando a quando dichiarato dal gruppo Medusa e alle evidenze proposte sul suo leak site, il gruppo criminale potrebbe aver esfiltrato un quantitativo significativo di informazioni sensibili dai sistemi di Postel”.
Sebbene in passato il gruppo Medusa abbia penetrato le reti delle vittime attraverso accessi remoti non presidiati in maniera idonea, non si può escludere l’utilizzo di tecniche più sofisticate”, prosegue Paganini che conclude, “questi attacchi inoltre meritano particolare attenzione perché potrebbero essere il risultato di un attacco ad un fornitore di sevizi di terze parti, o peggio ancora, le informazioni interne trafugate potrebbero essere utilizzate per successivi attacchi all’azienda stessa o ad altre aziende del gruppo. Non sappiamo quali e quante informazioni siano state realmente rubate, queste ore sono cruciali per una risposta all’incidente e per limitare movimenti laterali degli attaccanti che potrebbero riproporsi nelle prossime settimane”.
FONTE: CYBERSECURITY360