JBS Foods, uno dei maggiori produttori di carne al mondo, è stata vittima di un attacco ransomware il 30 maggio scorso, in seguito al quale si erano bloccate le operazioni in Australia, Stati Uniti e Canada. L'FBI ha attribuito l'attacco al ben noto gruppo di matrice russa REvil / Sodinokibi, che si ritiene abbia collegamento con gli affiliati di DarkSide.

A fare scalpore è l'importo del riscatto pagato: l'equivalente di 11 milioni di dollari. L'ammissione è ufficiale e sulla pagina ufficiale del blog aziendale si legge che la decisione di pagare è stata presa "di concerto con professionisti IT interni ed esperti di sicurezza informatica di terze parti" con l'obiettivo di "mitigare eventuali problemi imprevisti legati all'attacco e garantire che nessun dato sia stato esfiltrato". Sull'esfiltrazione torniamo più avanti.

Andre Nogueira, CEO di JBS USA, aggiunge che quella di pagare "è stata una decisione molto difficile da prendere" e che le indagini preliminari confermano che non è stato compromesso nessun dato dell'azienda, dei clienti o dei dipendenti.
Peraltro, JBS non aveva bisogno del decryptor, perché come si legge nella nota ufficiale "la capacità di JBS USA di risolvere rapidamente i problemi derivanti dall'attacco è dovuta ai suoi protocolli di sicurezza informatica, ai sistemi ridondanti e ai server di backup crittografati". Nemmeno dal punto di vista del personale si annotano problemi, dato che l'infrastruttura è gestita da un organico IT di 850 dipendenti, che dispongono di un budget IT annuale di 200 milioni di dollari.

Perché allora pagare il riscatto? Se domani dovesse emergere che dietro al pagamento del riscatto c'era l'FBI, che ha tentato di bissare il colpo grosso di Colonial Pipeline, allora non ci sarebbe nulla da obiettare. Certo, è una tecnica rischiosa, ma è anche uno dei pochi modi per arrivare vicini ai cyber criminali, e magari un giorno assicurarli alla giustizia.

Ma se così non fosse, resterebbe una sola ipotesi a giustificare lo spreco di 11 milioni di dollari: per sincerarsi che nessun dato esfiltrato durante l'attacco venisse diffuso. È vero che nel comunicato ufficiale c'è una rassicurazione sulla mancata esfiltrazione. Tuttavia è noto che il gruppo REvil esfiltri i dati prima di crittografarli. Inoltre, in assenza di esfiltrazione e di necessità di un decryptor non ci sarebbe stato alcun motivo per pagare.

Partendo da questo presupposto si inizia a riflettere. Primo sul fatto che i criminali informatici di Maze, che per primi hanno ideato il doppio riscatto, ci avevano visto bene: il danno d'immagine è peggiore di un blocco temporaneo della business continuity. Tuttavia, è impossibile non annotare che questa vicenda è una Caporetto per qualsiasi concetto di cybersecurity sana. Pagando una cifra così esosa si dà ragione ai criminali informatici e li si incentiva a proseguire con l'attività criminosa.

Non solo. Vista la disponibilità di 11 milioni di dollari, è inevitabile chiedersi perché non si sia investito nella prevenzione dagli attacchi ransomware. Viene il sospetto che l'insuccesso di questa operazione di gestione dell'emergenza sia frutto di un problema culturale. Della sottovalutazione di una minaccia globale che non ci si può permettere di ignorare. Ma anche della volontà di dare la precedenza al contenimento dei danni d'immagine, invece che dare la precedenza alla sicurezza preventiva e al contrasto del cyber crime.  Non resta che sperare nell'intervento provvidenziale dell'FBI per smantellare ogni ipotesti oscura.