Una task force di super-esperti, oltre 160 ore di lavoro, 3.500 macchine scandagliate, alla ricerca di un malware capace di paralizzare un’intera rete aziendale: sta in questi dati l’eccezionalità dell’intervento messo in campo da Yarix – la divisione sicurezza digitale del colosso italiano Var Group – per la gestione dell’imponente attacco hacker subito dal Gruppo Bonfiglioli, tra i più importanti produttori internazionali di riduttori industriali.
«Le imprese strategiche per il Made in Italy restano al centro delle attenzioni dei cybercriminali, che trovano in questa tipologia di aziende un bersaglio appetibile e vulnerabile ad attacchi mirati, condotti sulla base di periodi di analisi anche molto lunghi. Lo conferma anche il report realizzato dal nostro Security Operation Center: nei primi 3 mesi del 2019, le aziende manifatturiere hanno subito il maggior numero di attacchi, superando i settori dell’IT e della Gdo – commenta Mirko Gatto, ceo di Yarix, Var Group Company – L’attacco subito da Bonfiglioli esemplifica in maniera inequivocabile le capacità sempre più ‘evolute’ del cybercrime di insinuarsi nei sistemi informativi e la necessità di ricorrere a competenze professionali strutturate, in termini di numero e competenze di operatori specializzati, come unico argine nei confronti degli hacker».
A valle di una eccezionale capacità di reazione dell’azienda e di una imponente mobilitazione di risorse professionali, è stato possibile disinnescare una richiesta di riscatto pari a oltre 2,5 milioni di euro e ripristinare la piena funzionalità delle macchine.
«Consideriamo la cybersecurity un asset strategico e funzionale agli obiettivi di business del Gruppo. Per questo abbiamo sempre investito in strumenti e processi di protezione, oltre che in formazione e condivisione di una cultura della sicurezza informatica – sottolinea Enrico Andrini, chief digital officer di Bonfiglioli Riduttori – Siamo consapevoli tuttavia che si tratti di una materia in continua evoluzione: per questa ragione, in occasione dei recenti eventi, abbiamo immediatamente attivato la collaborazione con Yarix, partner in grado di affiancarci con competenze specialistiche nella gestione di un attacco difficilmente individuabile».
La dinamica
Sferrato l’11 giugno, l’attacco è stato perpetrato da un gruppo Apt (Advanced Persistent Threat) utilizzando un malware 0 day. Virus di questo tipo risultano particolarmente aggressivi in quanto realizzati ad hoc per un target aziendale specifico e capaci di restare nascosti: solo analisti specializzati (team Cert e Incident Response) sono in grado di individuare questi attacchi, rilevando in modo puntuale le azioni e i componenti utilizzati sugli endpoint compromessi.
Attaccando la rete di Bonfiglioli, il gruppo ha agito in un secondo momento con un ransomware che ha cifrato numerosi sistemi e compromessa l’accessibilità ai file criptati. La violazione ha poi ceduto il passo al più classico degli schemi criminali, con una richiesta di riscatto, prontamente rifiutata da Bonfiglioli, che ha successivamente richiesto l’intervento di un pool di professionisti di Yarix, divisione Digital Security di Var Group.
La gestione
«In tre giorni abbiamo contenuto l’aggressione digitale, mentre la completa distruzione del malware è stata completata nell’arco di 10 giorni – rileva Diego Marson, chief technical officer di Yarix – Considerando la portata dell’attacco, questo importante risultato è stato possibile in forza del combinato disposto del lavoro coordinato di più team: gli esperti in analisi forense, incident response e malware analysis, attivi in situ, hanno operato in collegamento costante con gli ethical hacker del Security Operation Center di Yarix, attivi da remoto».
In dettaglio, la gestione dell’attacco ha richiesto un insieme articolato in interventi. Ad una prima fase di contenimento – culminata nell’isolamento del malware fino ad interrompere ogni possibile comunicazione verso i sistemi remoti – è seguita la fase di eradicazione, che ha richiesto l’impiego di software intelligenti di ultima generazione. Nello specifico, i professionisti di Yarix hanno utilizzato un sistema Edr (Endpoint Detection&Response) di avanguardia, capace di distinguere e interpretare, sul piano qualitativo oltre che quantitativo, i comportamenti ‘malevoli’ tra quelli consueti espressi dai normali processi informatici.
Il profiling tecnico – l’identikit degli e-criminali
Indicazioni tecniche emerse durante la gestione dell’attacco, come pure l’utilizzo del ransomware Ryuk, condurrebbero al presunto profilo criminale degli hacker responsabili dell’aggressione: un gruppo di e-criminali russi conosciuto come Grim Spider, noto per l’utilizzo di malware sofisticati come quello adottato contro Bonfiglioli. Il gruppo sarebbe attivo da agosto 2018 e agirebbe preferibilmente contro obiettivi aziendali di grandi dimensioni – metodologia ‘big game hunting’ – a scopo di estorsione e ricatto.
