Moncler, il ransomware colpisce anche l’alta moda: la nostra analisi

Nella giornata del 17 gennaio il nuovo gruppo ransomware AlphV (BlackCat) ha rivendicato il successo dell’attacco al colosso della moda di lusso Moncler SpA, che ha prontamente emesso un aggiornamento ufficiale dopo che aveva già comunicato l’accaduto a partire dalle prime fasi dell’incidente iniziato lo scorso 23 dicembre.

Il gruppo ransomware AlphV BlackCat è una banda criminale di recente costituzione con un metodo di attacco estremamente sofisticato che, per la sua complessità e giovane natura, è considerato tra i più pericolosi degli ultimi anni.

Indice degli argomenti

Ransomare a Moncler: c’è stato furto dati

Al netto dei comunicati ufficiali, la rivendicazione dell’attacco a Moncler è avvenuta sul sito di data leaks del gruppo AlphV, che ha pubblicato il post con alcune schermate di dettaglio sui dati esfiltrati.

WHITEPAPER

Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?

Cybersecurity

Analizzando il contenuto della struttura dei dati sottratti all’azienda, possiamo evincere che i criminali informatici ne sono entrati in possesso a partire dal 22 dicembre scorso, per poi organizzarne la diffusione a partire dal 14 gennaio 2022 (resa nota il 17 dicembre, come dicevamo).

La diffusione che sta avvenendo nelle ultime ore si sta svolgendo interamente su domini .onion di proprietà della banda criminale, sotto rete Tor. Questo riguarda l’accesso al blog di AlphV ma anche a un web server organizzato ad hoc per l’evento in questione, nel quale viene condivisa l’intera struttura dei dati rubati, appunto con accesso HTTP.

Da quello che abbiamo potuto notare, si tratterebbe dell’esfiltrazione completa delle cartelle utente di uno o più domini di rete (presumibilmente Active Directory) al cui interno si presentano dati di ogni tipo inerenti l’attività lavorativa della società: ordini, contatti con clienti e fornitori, schede tecniche, documenti di pagamento, bozze di bilanci.

Ma anche, come spesso accade, una grande fetta di documenti personali, non inerenti l’attività lavorativa del personale che, lo ricordiamo, mettono a rischio la privacy della persona stessa intestataria di quei dati: motivo per il quale non è mai considerata una buona pratica utilizzare gli stessi meccanismi di custodia per documentazione personale e professionale.

Impatti per il brand, una lezione per tutte le aziende

Il caso dell’incidente informatico ai danni di Moncler è di grande impatto per l’importanza che il brand riveste nel settore commercio e alta moda. I contatti che intrattiene infatti, come fornitori e come clienti, portano il peso di essere tra i principali marchi del settore moda a livello mondiale, questo potrebbe esporne appunto un rischio prima di tutto sulla documentazione accessibile (quindi aziendale) e poi da non sottovalutare l’eventuale futuro rischio reputazionale.

Come da richiesta esposta da AlphV, all’azienda è stato richiesto un riscatto di 3 milioni di dollari che, come comunicato ufficialmente da Moncler, non è stato oggetto di trattativa escludendone quindi da subito l’eventuale pagamento.

Tra gli impatti derivanti da attacchi di questo tipo, è giusto ricordarlo, si sottolinea l’importanza che rivestono gli attacchi mirati, derivanti proprio da impostazioni esfiltrate sulla base dei dati diffusi illecitamente. Tra questi spiccano le campagne di phishing mirate verso clienti o fornitori, atte a rubare credenziali di accesso o diffondere malware, impersonando aziende ed enti come contatti target della vittima presa di mira. Da qui l’importanza intrinseca che rivestono le buone pratiche di protezione dei dati e documenti a tutti i livelli professionali, pubblici e privati.

@RIPRODUZIONE RISERVATA
Sorgente articolo:
Moncler, il ransomware colpisce anche l’alta moda: la nostra analisi

User ID Campaign ID Link
d9a95efa0a2845057476957a427b0499 l-99999988 Parole chiavi nelle ricerche
d9a95efa0a2845057476957a427b0499 l-99999987 Il tuo sito web Personalizzato
d9a95efa0a2845057476957a427b0499 l-99999978 Ugo Fiasconaro
d9a95efa0a2845057476957a427b0499 l-99999995 Campagne Email