Ciao Mondo! Puntata numero 44 di Cronache Digitali, dove vi racconto - in modo semplice - cosa succede nel mondo del cyber crime.

Come sempre vi ricordo che potete ascoltare la puntata anche come Podcast cliccando qui e che per ricevere i post direttamente nella email ed avere l'accesso completo, è sufficiente registrarsi (gratis eh!) cliccando qui!

Vediamo il menu di oggi:

  • Europol ancora a segno contro il cyber crime: nuovi arresti.
  • L'attacco a Mediaworld: cosa è successo?
  • HPE Aruba vittima di una intrusione a causa di chiavi rubate.
  • La telefonata che ha violato Robinhood.

Europol ancora a segno contro il cyber crime: nuovi arresti.

Immagine da Twitter, Europol

Continuano senza sosta le operazioni di polizia giudiziaria per combattere il mondo del cyber crime. Oramai dovremmo aver capito che c'è una vera e propria attenzione a questa tipologia di crimine e che i "cattivi" non sono singole persone, ma vere e proprie organizzazioni distribuite sull'intero pianeta.

Proprio per questo motivo, gli organi di polizia di tutto il mondo si sono organizzati.

Questa volta tocca alla Romania, dove due persone sono state fermate perché sembrano appartenere alla gang cyber REvil, oramai molto nota per chi segue Cronache Digitali.

Il 4 Novembre sono scattate le perquisizioni ed i fermi, figli dell'operazione Gold Dust che coinvolge molti paesi europei ma non solo: un terzo sospetto è stato arrestato in Kuwait, con l'accusa di essere affiliato alla gang GrandGrab, famosa per una tipologia di ransomware che ha fatto molte vittime sopratutto nel 2019.

Continuano così le azioni di polizia che cercano, un passo alla volta, di circoscrivere i rami delle organizzazioni criminali.

Il problema, come sappiamo, è dovuto anche al business model che le gang ransomware hanno messo in campo: il sistema delle affiliazioni - ovvero la possibilità di utilizzare la piattaforma ransomware as a service - ramifica in maniera esponenziale le attività illecite, in quanto permette anche a chi ha poche competenze di sferrare un attacco.

L'attacco a Mediaworld: cosa è successo?

Oramai la notizia ha fatto il giro del web: il gruppo di cyber criminali Hive è riuscito a colpire l'headquarter di Media Market (la società che guida MediaWorld) in Germania e Olanda.

Il ransomware ha bloccato molte delle attività della rete di server: da quanto riportato su alcuni media locali, sembra che i sistemi siano stati spenti ed abbiano interessato più di 3000 server. Inoltre alcuni negozi hanno avuto l'ordine di scollegare le casse dalla rete interna.

Sempre dalle indiscrezioni trapelate, il riscatto chiesto dai cybercriminali per fornire le chiavi di accesso per sbloccare i dati ed i server, ammontava in una prima fase a 200 Milioni di dollari, per poi scendere a 50 Milioni.

Ora, se effettivamente stanno così le cose, significa che c'è una negoziazione in corso e che il colosso della grande distribuzioni sta valutando il dafarsi, considerando l'opzione di pagamento come una delle possibili.

Aggiungo che l'attacco è avvenuto a ridosso del black friday: sappiamo quanto incidano sul fatturato di questo tipo di aziende i momenti di promozione.

Da alcuni contatti personali ho potuto appurare che anche alcune filiali italiane sono state impattate dal disservizio, con rallentamenti sui sistemi gestionali.

Vedremo nelle prossime ore cosa accadrà.

HPE Aruba vittima di una intrusione a causa di chiavi rubate.

Aruba HPE, brand famoso nel mercato delle grandi aziende, ha comunicato di aver subito una intrusione informatica nella piattaforma Aruba Central, un sistema di monitoraggio cloud che permette di gestire con un unica dashboard reti geografiche complesse distribuite sul territorio.

I criminali informatici sono riusciti ad avere l'accesso al sistema Aruba Central grazie ad una chiave elettronica rubata, ovvero sono entrati in possesso di alcune credenziali di accesso.

Da quanto comunicato da HPE la chiave è stata disabilitata il giorno 27 Ottobre, ma i cyber criminali hanno potuto agire indisturbati dal 09 Ottobre, quindi per 18 giorni.

All'interno della piattaforma si trovato i dati di un ingente numero di clienti, in particolare chi usa i servizi Wi-Fi di Aruba HPE: in teoria quindi i criminali informatici hanno potuto osservare e analizzare una mole ingente di informazioni dettagliate, come IP, hostname, MAC Address, data e ora delle connessioni alle reti Wi-Fi e molto altro ancora.
La pagina dove viene descritto l'incidente su Aruba HPE

L'azienda ha dichiarato di aver preso contromisure atte affinché ciò non si ripeta. Speriamo.

Questo tipo di indicente può però avere conseguenze non indifferenti: se è vero che gli attaccanti sono riusciti ad avere informazioni dettagliate sui clienti di Aruba Central, potrebbero usarle per successivi attacchi.

La telefonata che ha violato Robinhood.

"Una telefonata salva la vita" recitava un vecchio spot della Telecom, era il 1994. In questo caso, invece, è stato il mezzo per un attacco informatico: parliamo di vishing.

Il vishing è una truffa che usa come strumento il telefono. In sostanza, l'attaccante finge di essere un altra persona per riuscire ad avere informazioni riservate o credenziali di accesso. E' l'equivalente del phishing, che invece usa l'email.

Di norma una tecnica del genere è l'apice di attività di social engineering, ovvero di raccolta di informazioni sulla vittima, affinché il contatto telefonico diventi il più realistico possibile.

Non sottovalutiamo questo aspetto: spesso, durante le giornate lavorative, prestiamo poca attenzione a "chi c'è dall'altra parte del telefono": se qualcuno riesce a spacciarsi per - ad esempio - un fornitore, un tecnico esterno o un collega, il rischio di cadere nel tranello è molto alto.

Robinhood è un app di trading, che permette ai propri clienti di svolgere investimenti in maniera semplice e veloce, anche in criptovalute.

La home page di Robinhood

Sembra che il criminale informatico abbia contattato telefonicamente l'assistenza, fingendosi un collega autorizzato, chiedendo alcune credenziali di accesso.

La vittima purtroppo ci è cascata: il risultato è stato un furto di informazioni riguardante sembra più di 7 milioni di clienti.

Alcune indiscrezioni riferiscono che successivamente l'azienda ha ricevuto una richiesta di riscatto per non divulgare i dati rubati: il classico schema della doppia estorsione, anche se in questo caso non c'è stato uso di ransomware.

Questo caso deve farci riflettere sempre di più su quanto sia importante verificare l'identità delle persone con cui abbiamo contatti, sia via email che telefonicamente.