R1 Group, la timeline di una rivendicazione ransomware

R1 SpA, società italiana alla base del grande gruppo aziendale R1 Group, operante nel settore IT e cybersecurity da alcuni giorni, ma se vogliamo anche da mesi, è attenzionata dalle rivendicazioni criminali. Vediamo come possa essere un’attribuzione a R1 ma anche a Eurome, società del medesimo gruppo.

Il caso R1 Group

L’attuale vicenda è riconducibile alla rivendicazione operata dalla cyber gang KaraKurt il 27 ottobre appena passato con minaccia di pubblicazione dei dati all’1 novembre.

In effetti nella giornata del primo novembre è stata pubblicata una prima parte, meno di 2 GB sui 50 totali annunciati come rubati.

Importante sottolineare che l’azienda, tramite canale social, nella stessa data ha confermato che siccome i propri “sistemi funzionano regolarmente, R1 Group non è sotto attacco”.

Chiunque si occupi di data breach e attacchi cyber per professione, non stenta sicuramente a capire quante imperfezioni ci siano in questa “comunicazione” che, appurando il modus operandi di KaraKurt, benché non si tratti di errata attribuzione del target, sicuramente ha dimostrato di avere dati del gruppo in mano.

Qualora sia stato colpito un affiliato o un partner (Eurome), il problema sussiste comunque e non può essere surclassato. Responsabilità differenti, ma la vicenda va affrontata.

Il fatto che i sistemi continuino a funzionare non è sintomo di mancato data breach. I dati possono venir esfiltrati senza crittografia e in quel caso non ci sarà impatto sulla funzionalità. Ma il ransomware, come in questo caso, impatta sicuramente sull’accessibilità ai dati, quindi si tratta di capire unicamente quale sistema è stato colpito.

Anche perché una rivendicazione criminale arriva dopo che l’attacco è già stato portato a termine e concluso quindi, eventualmente l’attacco sarebbe avvenuto tempo fa, non di sicuro nei giorni della rivendicazione, come assunto dal “comunicato” di R1 SpA.

Il collegamento con Eurome

Per farci un’idea su cosa possa esser successo, si possono analizzare i dati ora pubblicati, ma soprattutto resta importante ricordare che R1 Group è stato colpito da altro attacco ransomware, nel mese di giugno 2022, operazione portata avanti dal gruppo Cuba.

Non ci sono evidenze nette sul fatto che questo attacco sia collegato a negoziazioni tra criminali che abbiano scambiato i dati tra cyber gangs differenti. Nonostante questo è curioso notare che già nei dati rubati di Cuba, il cui attacco risale al 22 giugno e i cui dati pubblicati, presentano la data dell’1 settembre 2022, contiene una discreta quantità di informazioni di Eurome, società del gruppo R1. Qui troviamo anche sottocartelle relative a operazioni e informazioni con la statale SOGEI e una chiara nota di riscatto.

La rivendicazione di KaraKurt, allo stesso modo, presenta diversi documenti con riferimenti alla Eurome. I dati sembrano effettivamente attribuibili al file sharing interno di un’organizzazione aziendale, riferibili a Eurome o a R1, in entrambi i casi la sensibilità al problema non cambia minimamente. Eurome fa parte di R1 Group.

Inoltre Eurome si occupa direttamente di gestione degli spazi di lavoro, con implementazioni anche lato conservazione elettronica dei dati. Nello specifico l’offerta per le tecnologia FEA a aziende ed enti (Firma Elettronica Avanzata), largamente usato anche in ambito fintech.

Dopo tutti questi mesi, ancora non è dato sapersi chi sia stato effettivamente colpito dal malware. È giusto ricordare che il gruppo aziendale si occupa di sicurezza con strategici collegamenti con enti e organizzazioni statali e importanti partnership, quindi andrebbe trattato e affrontato con la giusta sensibilità, in prima battuta con la comunicazione pubblica.