Cosa sappiamo dell’attacco ransomware che ha colpito Siae

Esfiltrati 60 gigabyte di dati. Il gruppo cybercriminale Everest pubblica una piccola parte delle informazioni e chiede un riscatto di 3 milioni in bitcoin, che la società rifiuta di pagare

La sede centrale della Siae (Carlo Dani, CC BY-SA 4.0 , attraverso Wikimedia Commons)
La sede centrale della Siae (Carlo Dani, CC BY-SA 4.0 <https://creativecommons.org/licenses/by-sa/4.0>, attraverso Wikimedia Commons)

Siae, la Società italiana degli autori ed editori, è stata vittima di quello che a prima vista sembrerebbe a tutti gli effetti un attacco ransomware innescato circa due settimane fa da un pregresso attacco phishing. Le tempistiche coincidono con il modus operandi del gruppo di cybercriminali noto come Everest. Questi hanno infatti immediatamente rivendicato l’attacco pubblicando su loro sito un sample, un piccolo assaggio, degli oltre 60 gigabyte di dati che dichiarano di aver trafugato a Siae.

In questo piccola demo sono presenti documenti d’identità, dichiarazione di paternità delle opere e variazioni dei recapiti domiciliari degli artisti fornite a Siae negli anni. I cybercriminali di Everest, dopo aver pubblicato il sample, hanno minacciato Siae di mettere in vendita l’intero database se l’ente non pagherà il riscatto richiesto, pari a tre milioni di euro in bitcoin. La società di collecting ha confermato all’agenzia Agi il data breach e dichiarato di aver prontamente informato polizia postale e Garante della privacy per avviare tutte le misure a tutela dei suoi iscritti.

È curioso che Everest abbia colpito una società italiana”, commenta a Wired Matteo Flora, imprenditore, docente universitario ed esperto di comunicazione di crisi: “Di norma questo gruppo esegue attacchi geograficamente limitati al Canada. Probabilmente tra gli autori di Siae ci sarà stato qualche canadese”. La tecnica impiegata dai cybercriminali in questa circostanza prende il nome di double extortion e, come spiega l’associazione italiana per la sicurezza informatica Clusit, “induce la vittima a pagare il riscatto non solo per la decifratura dei dati ma anche e soprattutto per evitare di vedere i propri dati aziendali, contabilità, dati della clientela, progetti, segreti industriali e quant’altro diventare di pubblico dominio […]. Questo tipo di attacchi si sono già manifestati nel 2020 con vittime Campari e Snaitech, intrusioni confermate dalle stesse aziende”.

A quanto si apprende finora, i dati non sarebbero stati criptati ma semplicemente esfiltrati dai database di Siae e resi pubblici in piccola parte per spingere nell’angolo l’azienda, che per ora ha dichiarato di non voler pagare il riscatto. I dati trafugati dai cybercriminali, se venduti, potrebbero essere adoperati da malintenzionati per eseguire delle frodi a danni delle persone a cui appartengono o potrebbero essere utilizzati per furti d’identità finalizzati a truffe online. Con i dati presenti nel database un malintenzionato potrebbe tranquillamente spacciarsi per uno dei cantanti, musicisti o compositori i cui dati sono stati trafugati durante l’attacco e approfittare di questa situazione per estorcere denaro ad altre persone.

Vista la natura dei dati trafugati, il rifiuto del pagamento del riscatto si traduce in un enorme danno per gli autori di Siae”, spiega Flora. Ora la società dovrà impegnarsi in un’attenta analisi del rischio affidandosi a degli esperti di comunicazione di crisi e legal-tech. “Inoltre –continua Flora – visto che l’attacco ransomware è partito a seguito di un phishing, sarebbe consigliabile far eseguire degli aggiornamenti ai dipendenti in modo da formarli contro eventuali futuri attacchi simili”. Wired ha contattato Siae per un commento in merito all’accaduto e al momento della pubblicazione di questo articolo non ha ricevuto risposta.

Leggi anche

loading...

Lascia un commento