Il Ransomware in Italia ci offre le patatine. San Carlo sotto attacco

Un appuntamento che ultimamente sta diventando troppo regolare, è quello che ci vede ad effettuare la nostra solita timeline di un attacco informatico, verso obiettivi popolari italiani. Nella sera di lunedì 25 ottobre 2021 è toccato al gruppo aziendale San Carlo, rivendicato alle 17.12 dal gruppo ransomware Conti.

La timeline

  • 25/10 – Ore 17.12 – Scopro personalmente tramite il feed del sito web ufficiale, sotto rete Tor, della ransomware gang Conti, l’annuncio di un nuovo attacco. Riguarda appunto l’azienda italiana “SAN CARLO GRUPPO ALIMENTARE SPA”. Dalle prime ricerche effettuate nessuno ancora ne parla, ma sul sito web di Conti l’annuncio suona esattamente così:
L’annuncio ufficiale alle 19.30 del 25/10
  • 25/10 – Ore 19.55 – Il fatto non è ancora noto in Italia, decido dunque di aprire la discussione online con questo primo tweet sull’argomento, la comunità ancora non ne parla e la stampa non è ancora arrivata sul caso:
  • 25/10 – Ore 20.27 – La notizia inizia a girare e su Twitter, iniziano i primi post e retweet. In questo orario appare il primo articolo dedicato all’argomento, è Red Hot Cyber a parlarne here.
  • 26/10 – Ore 00.10 – Ho raccolto abbastanza materiale per iniziare questa timeline anche io su inSicurezzaDigitale con questo articolo. Non si sa ancora quanti dati siano in totale stati trafugati, nell’annuncio di Conti si parla di circa 60 MB scarsi, con un elenco di 30 files, che però danno l’idea di un sample. Dai controlli è emerso che la SanCarlo SpA ha ricevuto un attacco informatico e sono stati rubati dei file aziendali relativi a documenti personali (scansioni di ottima qualità), documenti fiscali (fatture elettroniche e ordini, anche recenti, riguardanti la prossima stagione lavorativa 2022).

Qui di seguito un esempio della qualità documentale disponibile online, volutamente sfocata come sempre per non diffondere ciò che è già disponibile online illegalmente.

I recenti attacchi alle infrastrutture italiane (vedi il recentissimo attacco a SIAE da parte di Everest), da parte di bande ransomware non è ancora servito da lezione per un cambio di rotta pratico sulla cyber security nazionale, i tempi sono molto brevi, ma penso che dobbiamo anche velocizzare questo adeguamento se non vogliamo arrivare al quotidiano appuntamento con tali incidenti.

Il solo fatto che la stampa classica ancora in questo momento (00.44 del 26/10) non abbia per niente coperto l’argomento è indicativo del fatto che in Italia il discorso cybersecurity non sia sensibile quanto un incidente automobilistico (per la stampa locale) o un misunderstanding politico (per la stampa nazionale).

La timeline è un articolo in aggiornamento, in attesa di nuovi dettagli da rendere noti: rimangono infatti in sospeso se ci sia stata anche la cifratura dei file da parte del ransomware (oltre al furto), che riscatto viene richiesto per questa operazione, come sia avvenuto l’attacco (interno o esterno), quanti dati in totale siano stati esfiltrati.

Per effettuare qualsiasi segnalazione e aggiungere informazioni note a questa vicenda potete utilizzare il contatto sul nostro Whistleblowing.