L’attacco ransomware a Geox, datato giugno 2020, è la dimostrazione di quanto le minacce di questo tipo siano sempre più frequenti nel panorama del cybercrime globale. D’altronde, lo stesso Rapporto Clusit 2020 è stato molto chiaro in proposito: se è vero che i malware sono la principale tecnica di attacco (44% del totale), seguita dal social engineering e dal phishing, i ransomware sono il 46% di tutti i malware.
Lo dimostrano i casi di hacking e i data breach più popolari a livello mondiale, quasi tutti legati all’encrypting dei sistemi aziendali e all’esfiltrazione dei dati, una temibile accoppiata che permette ai criminal hacker di porre in essere la fattispecie della doppia estorsione.
Attacco ransomware Geox: cosa sappiamo
Il caso Geox non fa eccezione alla regola di cui sopra, per quanto le informazioni attendibili sull’accaduto siano scarse e il condizionale sia d’obbligo per buona parte della vicenda.
La certezza, come annunciato dai quotidiani nazionali a giugno dell’anno scorso, è l’attacco cyber ai danni della multinazionale italiana delle calzature, avvenuto tra il 14 e il 15 del mese: a essere colpito in forma diretta è stato il server di posta elettronica, cosa che di fatto ha bloccato le comunicazioni interne e, di conseguenza, ha determinato l’interruzione delle attività produttive e logistiche. Per questo, alcuni dipendenti dell’headquarter di Montebelluna sono stati lasciati a casa per alcuni giorni.
Secondo la ricostruzione de Il Gazzettino, sarebbero rimasti sempre attivi i negozi e l’e-commerce, mentre l’impatto più importante si sarebbe sentito – appunto – sulle attività logistiche. Secondo la fonte, non ci sarebbe stato furto di dati sensibili, ma l’azienda avrebbe comunque ricevuto una richiesta di riscatto per ottenere lo sblocco di tutti sistemi e i dati criptati.
Richiesta cui l’azienda non avrebbe dato seguito. Invece, secondo La Nuova, una sottrazione di dati ci sarebbe stata e i criminal hacker avrebbero messo in vendita tutto quanto in loro possesso per 8.500 euro in bitcoin.
Ransomware e il tema della Security Awareness
Nessuna notizia certa si ha a proposito del malware responsabile del downtime che ha colpito Geox, così come del meccanismo di infezione: si tratterebbe però del temibile ransomware Snake/Ekans, già associato ai casi di Enel e Honda, e potenzialmente veicolato nel modo più banale ed efficace possibile, ovvero come allegato di phishing mail.
Qualora ciò venisse confermato, ci troveremmo per l’ennesima volta a parlare di fattore umano come principale anello debole della sicurezza informatica. Comunque, non ci sarebbe da stupirsi: lo smart working “forzato” della prima metà del 2020 ha creato terreno fertile per i ransomware, il phishing e le campagne di social engineering, rafforzate da messaggi inerenti covid-19.
Aggiungendo l’utilizzo sempre più frequente di dispositivi personali – e come tali, non sempre sicuri o aggiornati – per lavorare da remoto, è palese che la pandemia abbia fornito un assist che i criminal hacker hanno accolto a braccia aperte.
Oltre a un naturale rafforzamento delle protezioni infrastrutturali, rivolte a proteggere proattivamente reti, sistemi, accessi ed endpoint, il caso Geox potrebbe far riaffiorare la necessità di una security awareness efficace ed estesa a tutta la workforce.
Dato il collegamento diretto con il ROI, l’efficacia di qualsiasi attività di formazione è il primo obiettivo cui tendere, ma anche uno dei più complessi: la security awareness moderna deve, infatti, essere ingaggiante e assecondare gli impegni di una workforce sempre più diffusa.
Via libera, dunque, a contenuti in streaming, ad Assessment veloci, ma soprattutto a una personalizzazione del percorso di formazione sulla base di simulazioni e casi concreti, che possono essere sottoposti agli employee in qualsiasi momento per valutare le loro reazioni e, soprattutto, i progressi fatti nel percorso di consapevolezza.
Solo in questo modo è possibile trasformare l’anello debole in una straordinaria arma di difesa, pronta a schierarsi a favore dell’azienda e dei suoi dati.
