È al momento irraggiungibile la home page del sito di Alia Servizi Ambientali, l'azienda toscana responsabile della raccolta dei rifiuti in 59 comuni della regione. Sul sito di Clementoni invece non ci sono segnali di un cyber attacco. Le due realtà italiane, tuttavia, sono accomunate dall'essere state vittime, in una manciata di ore, del famigerato gruppo ransomware Conti.

È trascorsa meno di una settimana da quando gli esperti di Check Point Software Technologies hanno allertato sui rischi legati alle festività natalizie e puntualmente il disastro è servito. Non è una questione di jella, è semplicemente l'applicazione razionale della visione criminale. Natale per il cybercrime è una ghiotta occasione per fare profitto.

Clementoni, che vende giocattoli per bambini, è un'azienda che con il Natale fa una fetta importante del profitto. Per questo, avranno pensato gli attaccanti, potrebbe essere più propensa di altre in questo momento a pagare un profumato riscatto. Alia che c'entra in tutto questo? Alia ha all'attivo 225 milioni di euro di ricavi, quindi calza a pennello con i criteri base di scelta delle vittime.

Comprendere il perché di un attacco è subordinato alla comprensione del modello di business dei criminali informatici. Il gruppo Conti ha nel palmares centinaia di vittime illustri sia fra le aziende private sia fra le istituzioni pubbliche, opera almeno dal 2020 con successo. In un altert diffuso dall'FBI a settembre, venivano indicati "oltre 400 attacchi del gruppo ransomware Conti contro organizzazioni statunitensi e internazionali per rubare file, crittografare server e workstation e richiedere il pagamento di un riscatto per restituire i dati sensibili rubati".

Il 6 dicembre Conti ha rivendicato l'attacco ai danni di Clementoni, denunciando il furto di 111 GB di dati. Fedele al modello del doppio riscatto, metterà in vendita dati e accesso alla rete al migliore offerente in caso di mancato pagamento della cifra richiesta. Poche ore dopo ha attaccato Alia, sempre con data leak e richiesta di riscatto per non diffondere i dati rubati.

Nel caso di Clementoni, fonti vicine all'azienda riferiscono di alcune criticità a carico del centro di elaborazione dati interno. Tuttavia il sito funziona, l'azienda non ha ancora emesso comunicazioni ufficiali, quindi non ci sono dettagli. La situazione sembra più complessa in Alia, il cui portale è inaccessibile. In questo caso c'è una comunicazione ufficiale via Twitter, in cui l'azienda ha presagito garantisce al momento i servizi essenziali, ma preannuncia criticità a partire da oggi.

https://twitter.com/AliaServizi/status/1468163354283888640?s=20

https://twitter.com/AliaServizi/status/1467836328322678792?s=20

Prevenire un attacco del genere non è scontato. Secondo le statistiche, qualunque azienda è a rischio di attacco ransomware e il fatto che questa evenienza si verificherà non è questione di "se", ma di "quando". Però è possibile circoscrivere i danni. Il framework MITRE ATT&CK traccia con dovizia di dettagli le tecniche e tattiche degli operatori di Conti, dagli exploit alle campagne di spear-phishing, passando per i software di monitoraggio e di gestione remota usati, le vulnerabilità sfruttate e altro.

Integrare questa fonte di informazioni in una moderna tecnologia XDR dotata di machine learning può consentire di identificare tempestivamente gli Indicatori di Compromissione e di attuare i provvedimenti necessari per non compromettere la business continuity.