SIAE lo scorso 18 ottobre 2021 è stata vittima di un enorme data breach che ha portato alla perdita di 60 Gb di dati (dalla registrazione di nuove opere a tutti i dati di domicilio e residenza, numero di telefono, email, IBAN etc. ) di artisti ed autori.
Autore dell’attacco è il (purtroppo) celeberrimo gruppo Everest, già noto in ambito informatico per le sue attività criminali.
Questo data breach è il risultato di una attività di phishing subita nelle settimane precedenti come annunciato dalla stessa SIAE.
Gli attacchi phishing si contrappongono agli attacchi brute force. Con un attacco brute force si provano un numero infinito di combinazioni di username e password fino a trovare la combinazione corretta.
Con gli attacchi phishing invece il punto nevralgico dell’attacco è l’utente e l’errore umano (il famoso click su un link di una mail o l’apertura di un file .zip), per la loro stessa natura gli attacchi phishing sono quelli maggiormente utilizzati da cybercriminali.
Nel caso specifico dell’attacco a SIAE, non ci troviamo di fronte ad un ransomware ma ad un attacco informatico classico con successiva data-exfiltration e richiesta di riscatto, in quanto i dati sono stati sottratti (e c’è stata la richiesta di riscatto) ma al tempo stesso non sono stati cifrati attraverso cryptolocker e non vi è stata alcuna interruzione di servizio per SIAE.
In un momento storico dove tutte le aziende (o pubbliche amministrazioni) dispongono di piani di backup e disaster recovery, quello che fa più paura non è la cifratura dei dati quanto la loro diffusione in rete e sfortunatamente questo modus operandi di richieste di riscatto senza cifratura dei dati sta diventando sempre più diffuso tra i cybercriminali.
La cosa più preoccupante in questo attacco e che meriterebbe un’analisi più approfondita riguarda l’approccio alla cybersecurity da parte di SIAE.
Gli hacker hanno rilasciato delle dichiarazioni alla rivista Red Hot Cyber (leggi qui l’articolo completo) definendo disastrosa la situazione di SIAE (da 1 a 10, da loro valutata 1).
Quali sono quindi gli errori strategici commessi da SIAE in questa situazione? L’errore più grave e grande sicuramente è stato quello di non analizzare l’assesment aziendale attraverso tool e tecniche di penetration testing per individuare le falle di sicurezza e porre delle patch.
Un secondo errore possiamo individuarlo nelle deficitaria sicurezza infrastrutturale. L’insieme di questi errori uniti a difetti del sistema, ha permesso agli hacker di trovare terreno fertile per portare a compimento l’attacco senza troppi sforzi.
Quali sono i passi che SIAE deve compiere per mettere in sicurezza la propria rete informatica? La cybersecurity moderna è diventata parte essenziale del modello di business di ogni azienda ma per attuare delle tecniche efficienti ed efficaci si deve per forza partire dalla fondamenta!
Mettere in sicurezza il perimetro aziendale con soluzioni di endpoint protection e firewall (di nuova generazione) è una pratica che può sembrare superata ma non è cosi, anzi tutto il contrario.
Un secondo punto riguarda la sicurezza delle email. Come abbiamo visto l’attacco è partito da email di phishing, educare quindi i dipendenti ad individuare email legittime da quelle illegittime oltre a dotarsi di un efficace motore antispam che blocchi all’arrivo email maligne è uno punto cruciale a livello di sicurezza informatica.
Un ulteriore step potrebbe essere quello di implementare tecnica di autenticazione a più fattori (2FA) in modo tale che gli utenti per utilizzare i servizi debbano autenticarsi con qualcosa che sanno (la password) e qualcosa che hanno (un token fisico o virtuale) che generi un PIN monouso.
L’utilizzo di questi basilari accorgimenti insieme a tecniche di cybersecurity più sofisticate (da analisi SIEM a piattaforme di analisi del traffico di rete, alla gestione dei privilegi per gli utenti) contribuisce a creare un ambiente sicuro, dinamico ed efficiente riducendo le possibilità per aziende e Pubbliche Amministrazioni di essere vittima di un data breach
