Colpita da ransomware ABI, Associazione Bancaria Italiana

Attaccata Associazione Bancaria Italiana (ABI), da ransomware Vice Society, i dati rubati sono online e diventano pubblici foto, dati personali ed economici dei dipendenti

Il gruppo ransomware Vice Society ha preso di mira, colpito e portato a segno un attacco informatico contro ABI, la più grande e strategica associazione bancaria italiana.

ABI colpita da Vice Society, pubblicati i dati

I dati sembrano essere datati al 18 aprile, ma apprendo di questo incidente solo stamattina grazie alla segnalazione di Claudio Sono

Un attacco che per il momento non è monitorato pubblicamente da parte dell’associazione stessa. Ma rivendicato direttamente dal gruppo criminale Vice Society nel proprio data leak site, via Tor.

“http[:]//vsociethok6sbprvevl4dlwbqrzyhxcxaqpvcqt5belwvsuxaxsutyad.onion/”

Aggiornamento 29/04: è apparso online il comunicato dell’ABI che avvisa gli utenti su attacchi informatici, attivi dal mese di febbraio! In effetti non proprio attuali a quanto pare, ma il comunicato arriva in coincidenza esatta con il giorno in cui spunta la rivendicazione dell’incidente. Cosa sarebbe successo se Vice Society non avesse pubblicato la rivendicazione? L’articolo che state leggendo non sarebbe esistito probabilmente.

Tuttavia, volendo ricostruire la mappa dell’attacco, verrebbe subito in mente il blackout dello scorso 7 aprile 2022 che ha visto il sito pubblico di ABI inaccessibile per diverse ore durante la serata fino a tarda notte.

L’accaduto di quel giorno, da un commento richiesto direttamente dall’interno, si è risolto come un “disservizio momentaneo dovuto ad una migrazione, e il down sarebbe durato poche ore”. Come infatti è stato, ma a questo punto ci si chiede cosa si doveva migrare e per quale motivo?

Forse si voleva trovare una soluzione rapida per risolvere il problema di un attacco informatico, presumibilmente quindi avvenuto dal sito web e da vulnerabilità che si portava dietro?

L’unico problema è che il ransomware non si risolve in questa maniera: i criminali rubano i dati che distruggono, prima di renderli inaccessibili, come è capitato ad ABI.

Cosa è stato esfiltrato dai sistemi ABI?

Chi risente maggiormente di questo leak, da ciò che è stato pubblicato direttamente dalla banda criminale, è sicuramente il lavoratore dipendente di ABI.

Non avendo infatti, per concetto, il contatto diretto con il pubblico, sembra che i dati interessino “solo” la struttura interna all’associazione bancaria. Seppur gravissimo ora sono noti e pubblicamente accessibili:

  • documenti d’identità, quindi indirizzi di residenza e dati personali dei dipendenti;
  • polizze assicurative stipulate dagli stessi (anche ad uso personale e non si capisce come mai venissero trattate nei computer ABI);
  • numeri di telefono aziendali/personali dei dipendenti, con tanto di codice IMEI dei dispositivi;
  • registro completo delle malattie di un grande set di dipendenti;
  • cedolini stipendiali dei dipendenti (con tutti i dati interni che ne conseguono).

Oltre 5600 righe che rendono noto a chiunque, i dati sono online e disponibili gratis, quanti e quali giorni di malattia ciascun dipendente ha fatto, se ha fornito o meno il certificato medico.

La quantità di dati all’interno di questo furto è grande, ed è stato reso possibile unicamente per mancata e incompleta sicurezza da parte di ABI, con inefficace messa in pratica delle buone procedure consigliate ormai da decenni in ambito informatico. Certi trattamenti sono fuori da ogni visione digitale del mondo lavorativo, la cosiddetta transizione digitale sembra qui toccare le vette più alte di misero fallimento.

I sistemi presi di mira infatti conservavano anche, in normali pdf, un interessante numero di copie di delibere per promozioni e abilitazioni tra i dipendenti Bancomat, rendendo noto a tutti importi e gradi sugli emolumenti

La lezione che ancora non impariamo

Ciò che dovrebbe essere ormai assodato, da tempo, è sia il fatto che nei computer di lavoro non devono essere presenti attività personali non riconducibili all’attività lavorativa stessa. Sia che ci sono mezzi e procedure sicuri, per trattare importanti e sensibili moli di dati. Il file di Excel penso sia chiaro che non è tra questi.

Perché ABI è importante? Ok, facciamo qualche passo indietro. Nel dicembre del 2016 la Banca d’Italia, l’Associazione bancaria italiana e il Consorzio ABI Lab hanno firmato a Roma una convenzione per rafforzare la collaborazione sulla cybersecurity, costituendo il CertFin. Già essere parte di questo circuito, ne fa per lo stato italiano una figura sensibile e strategica (quindi da proteggere).

Come se non bastasse nel 2019 anche CONSOB ha aderito a CERTFin, la struttura specializzata in materia di cybersecurity costituita da Banca d’Italia, ABI, ANIA, IVASS (prima ISVAP) e Consorzio ABI Lab.

Come possiamo vedere quindi negli ultimi anni l’attenzione alla sicurezza informatica, da parte di ABI (che rappresenta un fulcro centrale per le decisioni delle banche italiane), è qualcosa di effettivamente sentito. Quello che manca è l’applicazione dei concetti, forse al momento ancora molto teorici.

Quindi più di recente, a marzo 2022 il direttore generale dell’Abi, Giovanni Sabatini nel corso del suo intervento al Forum Abi Lab 2022 ha ribadito come sia necessario “presidiare lo spazio cyber” anche in relazione al crescere del banking online.

Tutto sicuramente molto interessante, ma quello che penso effettivamente è che le parole, anche in Italia, dovrebbero essere accompagnate dai fatti: prima un down del sito web giustificato con una migrazione, priva di spiegazioni dettagliate, poi una rivendicazione a distanza di 20 giorni, da parte di criminali informatici che dichiarano di aver attaccato la struttura, quindi di fatto una migrazione abbastanza obbligata, verrebbe da pensare.

Inoltre rimane il problema sul fatto che, in Italia è vietato nascondere gli attacchi informatici e se il 28 aprile è stato rivendicato l’attacco ransomware ad ABI, significa che l’attacco è avvenuto necessariamente giorni prima, ma gli utenti, gli associati o i media, non hanno ricevuto alcun comunicato in merito.

Ho inoltre chiesto un commento ufficiale ad ABI che al momento non ha risposto, aggiornerò dunque questo articolo se e quando arriverà una risposta sull’incidente informatico.