Nel corso del fine settimana il produttore di chip Nvidia è stato protagonista di un incidente cyber. A dare l’allarme sono stati i cercatori dell’azienda di cyber security Dark Tracer, che sabato mattina hanno riferito tramite Twitter di un attacco ransomware ai danni di Nvidia, condotto dal gruppo Lapsus$.

Si tratta di un gruppo salito alla ribalta delle cronache di security all’inizio dell’anno, quando ha attaccato un gruppo media portoghese proprietario, fra gli altri, del canale televisivo SIC e del quotidiano Expresso. In precedenza aveva attaccato il Ministero della Salute brasiliano e altri obiettivi sud americani.

All’inizio sembrava che i sistemi fossero gravemente compromessi, poi una nota ufficiale ha chiarito che le attività commerciali non avevano subito alcuna interruzione. A quanto si apprende dagli aggiornamenti, sembra che a essere coinvolti siano stati gli strumenti di sviluppo e i sistemi di posta elettronica aziendali.

https://twitter.com/darktracer_int/status/1497464801877839872?s=20&t=l1_8r3jwpHMHOO06xuuhcQ

Il portavoce di Nvidia Hector Marinez ha comunicato che sono in corso le indagini per “valutare la natura e la portata dell'evento”. Ufficialmente non ci sono informazioni relative a un data leak, ma esponenti del gruppo Lapsus$ sostengono di avere sottratto, durante l’hacking, 1 TB di dati dalla rete di Nvidia.

Gli stessi cyber criminali hanno pubblicato online delle informazioni riconducibili agli hash di password dei dipendenti Nvidia. Per fare luce su quanto accaduto c’è voluto del tempo, principalmente perché il primo pensiero è stata la matrice politica, nell’ambito di una ritorsione legata al conflitto ucraino. La seconda era che si fosse trattato di un attacco sofisticato.

In realtà sembra che nessuna delle due ipotesi sia fondata, e che l’attacco non sia stato particolarmente complesso, dato che gli attaccanti avrebbero approfittato di un accesso non autorizzato alla VPN aziendale. È invece fondata l’ipotesi ransomware, inteso come attacco seguito da una richiesta di riscatto, dato che i cyber criminali sembra abbiano davvero avanzato una richiesta di pagamento, minacciando la pubblicazione dei dati sottratti.

L’aspetto decisamente inusuale di questo attacco cyber è che – stando alle schermate diffuse in rete dagli attaccanti – Nvidia avrebbe reagito tentando di crittografare la macchina virtuale dei cyber criminali per cancellare la refurtiva.

Quanto accaduto ha spinto il CISO di Digital Shadows, Rick Holland, a esortare tutti a non dare subito per scontato che qualsiasi attacco cyber si verifichi in questo periodo sia necessariamente una rappresaglia alle sanzioni occidentali contro la Russia. È una possibilità concreta, ma è bene ricordare che "i gruppi ransomware hanno estorto vittime per anni e continueranno a farlo".

Il messaggio ovviamente non vuole minimizzare i rischi o le ripercussioni del conflitto. Semplicemente è volto a sollecitare un lavoro di indagine ordinato e schematico come nelle best practice per la gestione degli incidenti cyber. La confusione può ostacolare la scoperta delle reali motivazioni e ritardare l’applicazione delle corrette pratiche di remediation.