Il 31 dicembre Travelex è stata oggetto del primo grande attacco di hacking del 2020. Tecnicamente si è verificato l'ultimo giorno del 2019, ma le attività sono tuttora bloccate. Si tratta di un'importante società di cambio inglese da cui dipendono le attività di banch quali Lloyds, Barclays e Royal Bank of Scotland. Oltre che supermercati del calibro di Sainsbury's e Tesco.
Le ripercussioni sono pesantissime.
Ad oggi le attività dell'azienda colpita sono ancora bloccate. Sul
sito ufficiale campeggia ancora il messaggio: "
martedì 31 dicembre Travelex ha rilevato la presenza di un virus che ha compromesso alcuni servizi aziendali. […] Come misura precauzionale Travelex ha immediatamente messo offline tutti i propri sistemi per evitare un'ulteriore diffusione dello stesso attraverso la rete aziendale".
Il termine corretto con cui definire lo strumento di attacco è
ransomware, denominato Sodinokibi (o REvil), appartenente alla nota famiglia GandCrab. È una vecchia conoscenza di cui si possono trovare tutti i dettagli online, ad esempio sul sito di
Acronis. I cyber criminali hanno chiesto a Travelex il pagamento di un
riscatto di 6 milioni di dollari per sbloccare i sistemi.
Stando alle comunicazioni ufficiali dell'azienda, "non ci sono prove che suggeriscano che i dati dei clienti siano stati compromessi". I cybercriminali tuttavia
vantano di avere ottenuto l'accesso alla rete dell'azienda sei mesi orsono e di avere sottratto 5 GB di dati sensibili dei clienti.
Mentre la faccenda è ancora in via di risoluzione, Max Heinemeyer, Director of Threat Hunting di
Darktrace, prende spunto dall'accaduto per alcune riflessioni. Travelex, infatti, è solo l'ultimo esempio eclatante di una lunga serie di attacchi.
Quello che indica questo attacco è che i cyber criminali hanno un arsenale potente ed efficace. E che nonostante molteplici sforzi, è inevitabile che gli aggressori penetrino anche nelle
organizzazioni più sorvegliate.
Il furto dei dati, inoltre, è solo la punta dell'iceberg. Un tempo i cyber criminali si limitavano a rubare informazioni e chiedere soldi per restituirle ai legittimi proprietari. Oggi la minaccia per chi non paga è la
pubblicazione delle informazioni. Un'azione che compromette l'affidabilità dell'azienda colpita, creando problemi diretti alla sua clientela.
Padre di questa tattica perversa fu il gruppo hacker Maze. Evidentemente chi ha perpetrato l'attacco ai danni di Travelex ha preso spunto.
L'ingente riscatto potrebbe distogliere dal problema principale. Come evidente nel caso Travelex, i
tempi di inattività sono lunghi e possono paralizzare un'azienda per settimane. È questo il monito per le aziende: una difesa proattiva e ben strutturata può consentire la
piena visibilità sulle attività. E permette di bloccare gli attacchi prima che causino danni di ampia portata.