TOP 10 primo semestre 2021

SolarWinds è una società texana con sede ad Austin che si occupa dello sviluppo di software.
Uno dei suoi prodotti di punta è la piattaforma Orion per il monitoraggio e la gestione di infrastrutture IT per piccole imprese, agenzie governative e istituzioni educative in tutto il mondo.
L'attacco informatico del 17 maggio ha avuto dimensioni ben più ampie, infatti l'obiettivo nel mirino degli hacker era il governo americano e l'amministrazione USA. Ha infatti colpito l'intera «supply-chain»: senza prendere di mira un'unica società. Gli hacker hanno agito colpendo più fornitori del governo americano. Il più famoso di questi è appunto SolarWinds con la sua piattaforma Orion.
Un'altra società coinvolta nell'attacco è la FireEye che si occupa di cybersecurity e che collabora proprio con il governo americano.
Tra i vari dipartimenti americani coinvolti ci sono il Pentagono, il dipartimento del Tesoro, del Commercio, di Stato e dell’Energia.
Gli hacker si sono mossi per scovare altre vulnerabilità ed espandere la propria presenza all’interno del network e sembrerebbe siano stati in grado di creare un accesso persistente. Gli hacker infatti avrebbero inserito delle backdoor, letteralmente "porta sul retro", in modo tale da poter accedere ancora ai sistemi informatici anche quando SolarWinds e le altre società coinvolte saranno state in grado di arginare la falla nel sistema.

Il Colonial Pipeline è il più grande sistema di oleodotti per prodotti petroliferi raffinati negli Stati Uniti. Il gasdotto è lungo 5.500 miglia e può trasportare fino a 3 milioni di barili di carburante al giorno tra il Texas e New York.
L'8 maggio, a seguito di un attacco informatico, si sono fermati 8.850 chilometri di oleodotti.
Si pensa sia stato a causa di un ransomware, ovvero un codice che si installa nel computer nel momento in cui viene scaricato un file infetto e che blocca con una crittografia tutti i contenuti che incontra sulla sua strada.
Il software infettante (malware) ha in questo caso una caratteristica in più: infetta e blocca i sistemi crittografandoli. Questo permette ai cracker di chiedere un riscatto per "togliere il disturbo" da cui deriva il nome ransomware.
Il Colonial Pipeline inizialmente si è rifiutato di pagare il riscatto, ma a causa delle perdite economiche che subiva dall'arresto dell'attività ha ceduto pagando una cifra pari a 75 Bitcoin, circa 5 milioni di dollari.

Toshiba Corporation è una multinazionale conglomerata giapponese con sede a Minato, Tokyo. I suoi prodotti e servizi diversificati includono energia, sistemi di infrastrutture industriali e sociali, ascensori e scale mobili, componenti elettronici, semiconduttori, dischi rigidi, stampanti, batterie, illuminazione e soluzioni IT.
Il 14 maggio la Toshiba ha dichiarato di essere stata hackerata e di aver perso il controllo di circa 740GB di dati personali e informazioni riservate. Il metodo utilizzato è stato sempre di tipo ransomware che blocca e cripta i dati. La minaccia del gruppo di cybercriminali era quella di non restituire i dati e di diffonderli sul web se questa non avesse pagato il riscatto.
Toshiba ha denunciato l'attacco alle autorità europee e sembrerebbe che si sia rifiutata di pagare per la restituzione del prorio capitale informativo, per non sottostare al ricatto del gruppo DarkSide.

Luxottica, azienda italiana con sede ad Agordo in provincia di Belluno è leader mondiale nella produzione e commercializzazione di occhiali e montature, ha ricevuto un attacco ransomware il 20 settembre.
Il bottino è di circa 2GB di dati rubati all'azienda. Dati riguardanti il mercato del Sudafrica.
L'attacco ha causato il blocco totale delle attività produttive di Luxottica negli stabilimenti di Agordo e Sedico, entrambi nel bellunese, e anche di quelle in Cina.
Gli investigatori hanno potuto verificare che gli hacker sono riusciti ad entrare in possesso e a copiare esclusivamente i file e materiali interni, e quindi nessun dato personale rilevante.
Anche Luxottica si è rifiutata di pagare il riscatto nonostante alcuni dati, in particolare quelli del mercato sudafricano, siano stati rubati e quindi persi.

Electronic Arts Inc. è una società di videogiochi americana con sede a Redwood City, California. È al secondo posto, sia in America che in Europa, per fatturato e capitalizzazione dopo Activision Blizzard. Dal maggio 2020 infatti ha superato Take-Two Interactive, e Ubisoft.
Il 10 giugno gli hacker hanno rubato il codice sorgente di FIFA 21 e il Frostbite Engine, trafugando 780GB di dati che poi sono stati messi in vendita.
Oltre al codice sorgente di FIFA 21 e Frostbite Engine, gli hacker hanno rubato anche i DevDit EA, l'insieme di strumenti di sviluppo delle diverse piattaforme di gaming.
Sembrerebbe che i dati e le informazioni personali dei giocatori non siano stati violati e che non ci sia stato nessun rischio per la privacy degli utenti. L'EA, dopo l'attacco, ha dichiarato di avere apportato numerosi miglioramenti alla sicurezza dell'intero sistema informatico aziendale.

Anche JBS, impresa brasiliana con sede a San Paolo, è stata attaccata da un ransomware il 31 maggio.
JBS è la più grande azienda di lavorazione della carne al mondo, produce manzo, pollo e maiale lavorati in fabbrica e vende anche sottoprodotti della lavorazione. L'azienda ha più di 150 stabilimenti produttivi sparsi in 15 diversi paesi.
Anche l'attacco a JBS è di tipo ransomware e ha bloccato la produzione negli stabilimenti statunitensi, canadesi e australiani, mettendo a repentaglio le consegne di un’azienda che ha una quota del 15% circa del mercato Usa delle carni.
JBS ha affermato di aver pagato il riscatto in Bitcoin, circa 11 milioni di dollari in bitcoin ad una banda di hacker russi, per poter riprendere il normale svolgimento delle attività lavorative.

Microsoft Exchange Server è un server di posta e di calendario sviluppato da Microsoft. Il software funziona esclusivamente su sistemi operativi Windows Server. Viene utilizzato da aziende e organizzazioni in tutto il mondo per gestire email e calendari
L'attacco al Microsoft Exchange Server è iniziato a Gennaio ed è stato scoperto a Marzo.
I server incriminati sono stati quelli “on-premises” ovvero quelli locali, e non quelli sul cloud. I cracker entrando nei server hanno ottenuto il completo controllo delle piattaforme. Tale controllo avrebbe permesso ai criminali di leggere le email, cancellarle, trasferirle e di controllare l'intero sistema. Avrebbero potuto installare anche una “web shell”, un programma che consente di mantenere aperto l’accesso al sistema e di prenderne il controllo anche in futuro, dopo che le vulnerabilità sono state arginate.
Microsoft ha risposto all'attacco inserendo una patch, ovvero un aggiornamento correttivo per eliminare le vulnerabilità del sistema.
Secondo quanto dichiarato da Microsoft l'attacco sarebbe collegato al governo della Cina il quale ha smentito ogni responsabilità.

Axios è una società italiana che si occupa di sviluppo software per le strutture scolastiche. Tra i vari prodotti offerti i due principali solo la Segreteria Digitale e il Registro Elettronico.
Proprio quest'ultimo è stato attaccato da un ransomware il 7 di aprile. In questo caso gli hacker hanno pubblicato anche un messaggio sul loro sistema interno con la richiesta di riscatto in bitcoin, per diverse decine di migliaia di euro. Il messaggio era corredato di contatto Telegram con il quale interfacciarsi per il pagamento e la risoluzione dei problemi. In cambio del pagamento i malintenzionati avrebbero mandato un video tutorial per la risoluzione dei problemi e per ripristinare il funzionamento del registro.
Axios, dopo aver presentato una denuncia alla polizia postale, ha deciso di affidarsi a due società esperte di sicurezza informatica le quali hanno constatato che nessun dato era stato cancellato, né uscito dai sistemi dell'azienda.

Kia Corporation , comunemente nota come Kia, è una casa automobilistica multinazionale sudcoreana con sede a Seoul. È il secondo produttore automobilistico della Corea del Sud dopo la società madre Hyundai Motor Company, con vendite di oltre 2,8 milioni di veicoli nel 2019.
La filiale americana KMA, Kia Motors America, con sede a Irvine in California ha subito un attacco ransomware il 18 febbraio.
KMA ha circa 800 concessionari negli Stati Uniti con auto e SUV prodotti a West Point, in Georgia.
La richiesta di riscatto è stata di 20 milioni di dollari e l'attacco è stato fatto da parte della banda DoppelPaymer.
In cambio del riscatto la banda avrebbe promesso di fornire un decryptor, che è uno strumento per "sbloccare" i dati criptati, e di non far trapelare dati rubati.
Sembrerebbe che KIA si sia rifiutata di pagare il riscatto.

AXA è uno storico gruppo assicurativo mondiale, nato nel 1817 in Francia e con sede principale nell'8° arrondissement di Parigi. La società opera nella protezione assicurativa e nell'asset management (gestione degli investimenti e altri servizi finanziari).
Il 16 maggio, il gruppo ransomware Avaddon ha affermato sul proprio sito web di aver rubato circa 3TB di dati sensibili dai server asiatici di AXA, in particolare, per i paesi come Malesia, Thailandia, Hong Kong e Filippine. Inoltre, sembra che sia stato condotto un attacco DDoS (Distributed Denial of Service, in italiano interruzione distribuita del servizio) ai server internazionali AXA.
I dati in possesso del gruppo Avaddon, riguardano documenti medici, reclami, pagamenti, documenti scansionati relativi ai conti bancari, materiale riservato a medici e ospedali, documenti di identificazione, fatture mediche ed altro ancora.
Per il caso AXA non è chiaro se sia stato richiesto e pagato il riscatto chiesto da Avaddon.

Abbiamo aggiunto alla top 10 dei cyber crimini anche l'attacco all'ospedale francese Oloron-Sainte-Marie che, vista la crisi sanitaria globale e il sovraffollamento delle strutture, ha messo a rischio la vita di centinaia di persone in un momento così fragile della nostra storia.

Il Centre Hospitalier Général d'Oloron è il centro ospedaliero con sede a Oloron-Sainte-Marie in Francia. Si tratta di un importante centro ospedaliero dotato di un'infrastruttura informatica di alto livello, attorno alla quale ruotano tutti i servizi dell'ospedale e del pronto soccorso.
Anche questo tipo di attacco informatico è di tipo ransomware e ha paralizzato i sistemi informatici dell'ospedale crittografato tutti i dati rendendoli illeggibili. Il malware ha colpito anche il sistema utilizzato per monitorare le scorte di medicinali e forniture mediche.
Si tratta del terzo ospedale francese ad essere stato hackerato.
I criminali hanno chiesto una somma di 50mila dollari in valuta bitcoin.
Il virus è stato scoperto l'8 marzo dal personale del reparto IT dell'ospedale, che ha messo offline parte della rete della struttura informatica per arginare l'attacco.
Nonostante gli altissimi rischi connessi in caso di mancanza di cure dei pazienti, l'attacco non ha avuto risvolti tragici. Ha comunque causato gravissimi danni alla struttura. Le cartelle digitali criptate e inaccessibili dei pazienti hanno costretto i medici a tornare a lavorare in analogico.
L’indagine è stata prima affidata all’ufficio del procuratore di Pau e poi è stata trasferita alla giurisdizione nazionale contro la criminalità organizzata di Parigi.
Il riscatto non è stato pagato e si stima che per il ripristino della piena funzionalità dei sistemi informatici ci potrebbero volere tre mesi.