lunedì 8 novembre 2021
Il cybercrime non sempre paga: nessuno compra i dati della SIAE. Gli attaccanti provano a svendere i dati
Dell'attacco informatico contro la SIAE ne hanno parlato tutti i principali media, anche esteri: descritto inizialmente come un attacco ransomware, è risultato essere invece qualcosa di diverso. Il gruppo dietro l'attacco è, come già noto, Everest che si occupa anche di campagne ransomware ma, nel caso in dettaglio, gli attaccanti si erano limitati ad accedere alla rete e esfiltrare i dati lasciandoli integri sui sistemi informatici SIAE e cercare di monetizzarli.
Per approfondire > Bucati i sistemi informatici della SIAE: i cybercriminali di Everest rubano i dati degli iscritti, dei dipendenti e dei dirigenti - aggiornato
Il primo tentativo di monetizzazione è stata la classica estorsione post data breach: gli attaccanti hanno annunciato il furto dei dati mettendo dei sample a disposizione sul loro sito di leak e avanzando una richiesta di riscatto direttamente all'ente. La prima richiesta era stata di 3 milioni di euro in Bitcoin, ma fu prontamente rispedita al mittente dal direttore generale Gaetano Blandini:
“La Siae non darà seguito alla richiesta di riscatto. Abbiamo già provveduto a fare la denuncia alla polizia postale e al garante della privacy come da prassi. Verranno poi puntualmente informati tutti gli autori che sono stati soggetti di attacco. Monitoreremo costantemente l’andamento della situazione cercando di mettere in sicurezza i dati degli iscritti della Siae”
Incassata la prima batosta e di fronte alla ferma volontà di SIAE di non pagare (sembra che non abbiano neppure mai cercato di contattare gli attaccanti), il riscatto è stato ulteriormente abbassato a 500.000 euro. Anche in questo caso nulla, la SIAE decide di mantenere il pugno di ferro e non arretra di un millimetro.
Gli attaccanti corrono ai ripari quindi e tentano una forma diversa di estorsione: disponendo di nomi e cognomi, indirizzi di residenza fisica, iban, codici fiscali, date di nascite, passaporti e una miriade di altri dati tentano l'estorsione direttamente contro gli artisti.
"Benvenuto nel dark web, abbiamo tutto le tue informazioni personali e bancarie, se non vuoi che venga tutto reso pubblico paga 10 mila euro in Bitcoin a questo indirizzo", con deadline per il pagamento fissata al giorno 22 Ottobre: questo il messaggio SMS che centinaia di artisti hanno ricevuto. Il tentativo di estorsione è stato ricevuto e denunciato da artisti del calibro di Al Bano, Samuele Bersani, Rocco Tanica (tastierista degli Elio e le Storie tese) ecc...
Anche qui nulla, un buco nell'acqua: nessuno degli artisti cede e paga e, anzi, la Procura di Roma apre formalmente un fascicolo di indagine per tentata estorsione e accesso abusivo a sistema informatico.
Così il 22 ottobre gli attaccanti, rimasti a bocca asciutta, mettono in vendita una parte dei dati rubati: ne pubblicano 1,95 GB a fronte dei 60GB sottratti e lo mettono in vendita a 500.000 euro.
"Questi sono i dati dei clienti della Società Italiani degli Autori ed Editori, documenti finanziari e altri documenti molto importanti. Un numero enorme di passaporti, patenti di guida, documenti di pagamento, conti bancari, carte di credito e altri dati utente. La società non ha concluso un accordo: il prezzo per tutti i dati è di 500mila dollari", recita il post con l'annuncio di vendita. Non solo: gli attaccanti continuano a sperare in un intervento diretto delle celebrità italiane per tutelare la propria privacy. Il testo continua infatti:
"La società non è voluta scendere a patti. Il prezzo di tutti i dati è 500.000 dollari. Rappresentanti delle celebrità, contattateci per riscattare i dati. Dopo la vendita i dati saranno cancellati".
In effetti, questa volta i dati pubblicati sono di alto valore: sono 5.200 file contenenti molti dati personali, ma anche recapiti bancari, numeri di telefono, indirizzi, cambi di residenza fiscale ecc.. ma anche in questo caso non si muove una foglia. Nessuno paga, nessuno cede.
Gli attaccanti provano quindi con un ulteriore sconto a monetizzare l'attacco: si passa a 300.000 dollari di richiesta, scontati dopo pochi giorni a 150.000 dollari.
Fonte: Everest data leak site
Due giorni fa il prezzo è stato definitivamente tolto: "the database is on sale" recita mestamente il sito di leak di Everest. Non sempre, insomma, il cybercrimine paga.
Fonte: Everest data leak site