Le minacce cyber aumentano, come dimostra il caso del software MOVEit che ha colpito British Airways, Deutsche Bank, TomTom e centinaia di altre multinazionali. Il vademecum di Pierguido Iezzi esperto di cybersicurezza, ceo di Swascan (gruppo Tinexta) e membro del board di Assintel Confcommercio, autore del libro “Cyber e potere”
MOVEit Transfer è un software che consente di trasferire file in modo sicuro. Almeno finché qualche hacker, come è stato scoperto due mesi fa, non è in grado di sfruttare una vulnerabilità zero day per rubare i dati. Dopo aver colpito British Airways, Shell, le ultime vittime sono la catena alberghiera Radisson, la banca statunitense 1st Source Bank, il gigante immobiliare Jones Lang LaSalle e la società olandese di navigazione satellitare TomTom.
La banda del ransomware Clop, che ha rivendicato la responsabilità delle incursioni, ha già mietuto centinaia di vittime, e l’elenco continua a crescere. Negli ultimi giorni si sono fatte avanti la banca d’investimento tedesca Deutsche Bank, l’Università del Colorado, l’Università dell’Illinois, la società di diagnostica Realm IDX e l’azienda biofarmaceutica Bristol Myers Squibb di New York. MOVEit è infatti una soluzione adottata da molte aziende farmaceutiche, ospedali e realtà biomedicali.
“Questa è una combinazione di un attacco cyber alla supply chain con lo sfruttamento di una vulnerabilità zero day”, spiega il ceo di Swascan Pierguido Iezzi, che ha appena pubblicato Cyber e potere (Mondadori), un libro in cui spiega come contrastare i rischi alle nostre infrastrutture strategiche. “Come impatto e ramificazioni è molto simile ad un altro noto caso di cyber attack, quello perpetrato ai danni di Kaseya VSA nel 2021. In entrambi i casi il ransomware era stato diffuso a seguito della violazione di un provider di servizi, usato poi come tramite involontario per colpire centinaia di aziende”.
“Il rischio di questi attacchi – continua l’esperto – è reale e tangibile. D’altronde la loro frequenza sta sempre più aumentando. Anche per gli stessi Criminal Hacker diventa più vantaggioso prendere di mira gli snodi delle supply chain digitali, come MOVEit di Progress Software. Violando un singolo componente della catena del valore si assicurano decine se non centinaia di accessi per colpire altrettante vittime.”
“In questo caso, sembra che il movente sia stato puramente economico. Ma non dobbiamo neppure ignorare che la gang ransomware responsabile, Clop, ha sede in Russia. Difficile, visti i parallelismi, non pensare ad un altro noto incidente in cui è stata violata la soluzione di un provider di servizi per installare ransomware. Parliamo del caso Solarwinds, un’operazione che, dopo mesi d’indagine, si era rivelata essere una complessa campagna di spionaggio contro il governo federale americano messa in piedi dall’intelligence russa tramite la gang di Criminal Hacker Cozy Bear, anche nota come APT 29”.
“Qualunque siano i risvolti di questa ennesima crisi, diventa difficile ignorare simili campanelli d’allarme, in particolare se diamo uno sguardo alla situazione del nostro Paese. La supply chain italiana, infatti, è costituita prevalentemente da PMI, non unicamente colossi del IT come possiamo trovare al di là dell’Oceano. Esse, oltre a costituire il nostro vantaggio competitivo e ad essere i custodi del nostro know-how, sono anche i gangli di tantissime infrastrutture pubbliche e private”.
“Il rischio degli attacchi alla supply chain, quindi, deve essere mitigato anche attraverso la difesa cyber dello strato più vulnerabile del sistema-paese. Basti pensare che nel secondo semestre del 2023, il Soc Swascan ha rilevato come l’80% degli attacchi ransomware abbia colpito aziende con meno di 100 dipendenti. Sfortunatamente, le PMI non avranno, per motivi fisiologici, la stessa disponibilità di risorse e know-how per approntare una difesa al pari “dei grandi”. Servono incentivi economici: quanto già è stato fatto o pianificato attraverso il Pnrr potrebbe essere affiancato da un’ulteriore defiscalizzazione degli investimenti nel campo della cybersecurity”.