Andrea Saturnino, ICT Security Specialist di Sababa Security, ha commentato l’attacco ransomware rivolto a Conforama.
“Nella mattinata di Giovedì Alphv ha rivendicato di aver esfiltrato dalla rete di Conforama ben 1TB di dati, comprendenti carte di credito di clienti, dati dei dipendenti oltre che numerosi documenti relativi alla logistica e all’area marketing.
Connettendosi sul sito e visualizzando i sample pubblicati, è possibile verificare la presenza di documenti riconducibili a fatture emesse verso fornitori, tuttavia non sembrano presenti dati di dipendenti o clienti.
Il gruppo criminale ha dato 48 ore di tempo alla multinazionale francese per poterli contattare e contrattare un riscatto, pena la pubblicazione di tutti i dati in loro possesso. Alphv, per effettuare pressione sulle proprie vittime e facilitare il pagamento di un riscatto, è solito utilizzare la tattica del Triple Extortion Ransomware, che consiste nel criptare i dati presenti all’interno dell’infrastruttura della vittima, minacciare di pubblicare i dati sensibili e infine di utilizzare attacchi DDoS per causare disservizi sui sistemi utilizzati sia dai clienti che dai dipendenti dell’azienda colpita.
Proprio per la tipologia di azienda, che per sua natura possiede dati sensibili di fornitori e clienti, Conforama potrebbe essere particolarmente sensibile a questa tattica.
Attualmente l’azienda non ha commentato la rivendicazione, tuttavia bisognerà eventualmente aspettare 48 ore per verificarne l’affidabilità
Alphv, conosciuto anche come BlackCat, è un gruppo ransomware famoso per utilizzare il modello di business RaaS (Ransomware as a service), già osservato su altri gruppi come Lockbit e Hive, che consiste nell’affittare il proprio ransomware ad altri gruppi o organizzazioni, per poi dividere il riscatto risultante dall’attacco.
Proprio per questa tipologia di business model è possibile che l’attacco sia stato effettuato da un altro gruppo, probabilmente di minori dimensioni, ma che sia stato poi pubblicato sul sito di Alphv per avere più eco mediatico.
In italia il gruppo è famoso per aver rivendicato gli attacchi contro l’Università di Pisa e GSE, società pubblica che si occupa di energie rinnovabili, oltre che per aver effettuato attacchi contro diverse società attive nel settore energetico.
Secondo uno degli ultimi report dell’FBI, diversi sviluppatori ed esperti di riciclaggio del denaro attualmente attivi in Alphv/BlackCat hanno delle connessioni con il defunto gruppo RaaS DarkSide/BlackMatter, responsabile per l’attacco del 2021 al Colonial Pipeline, il più grande sistema americano di raffinamento del petrolio che ha causato la chiusura di quest’ultimo per 5 giorni e la conseguente carenza di benzina su tutta la costa Est degli Stati Uniti.”
