La software house Software AG è stata colpita da un attacco con il ransomware Clop. Rubati documenti aziendali e informazioni sui dipendenti, è stato chiesto un riscatto di 23 milioni di dollari. Software AG è una multinazionale tedesca attiva in 70 Paesi e con oltre 5.000 dipendenti. Fra i suoi clienti ci sono nomi importanti come Airbus, Lufthansa, DHL, Telefonica, Credit Suisse e Continental.

Una preda ghiotta per i gruppi criminali, che vedono nel giro d'affari dell'azienda grandi potenzialità di guadagni. L'attacco è avvenuto sabato 3 ottobre. Accade spesso che per operare indisturbati, i cyber criminali colpiscano nel fine settimana o fra le 18 e le 8 del mattino, quando l'allerta è meno alta. 

Il 5 ottobre la notizia, in una nota per la stampa: "Software AG ha chiuso i sistemi interni in modo controllato e nel rispetto delle normative di sicurezza dell'azienda. I sistemi sono in fase di graduale ripristino. Restano interruzioni solo nei i servizi di helpdesk e di comunicazione interna".
Secondo i primi dati ufficiali, l'attacco ha colpito solo la rete interna dell'azienda. I servizi cloud sarebbero rimasti inalterati. Il 5 ottobre, un'altra nota dell'azienda tedesca specificava infatti che l'azienda "è stata vittima di un attacco malware, che non è ancora del tutto contenuto. Sono stati scaricati dati dai server e dai notebook dei dipendenti di Software AG". 

In altre parole, non è bastato spegnere tutto e riavviare come avvenuto in altri casi. Alcuni sistemi al 5 ottobre aveva ancora problemi, inoltre i servizi ai clienti restavano bloccati, compresi quelli su cloud. Ancora oggi, sul sito ufficiale, è pubblicata la notifica che "a causa di problemi tecnici con il sistema di supporto online, chiediamo gentilmente di inviarci una e-mail con la descrizione del problema […] ".

Swatch sotto attacco, perché ha spento i sistemi IT per salvarsi - Fabrizio Croce, VP Sales South Europe di WatchGuard Technologies, spiega il perché dell'arresto dei sistemi in via precauzionale in caso di attacchi ransomware.

Come si arriva a Clop

Software AG non ha parlato esplicitamente di ransomware, né tanto meno di Clop. Tuttavia, nei giorni successivi, il ricercatore per la sicurezza noto su Twitter come MalwareHunterTeam ha messo le mani sul codice della minaccia usata nell'attacco a Software AG. 

Risalendo al sito di pagamento Tor e alla relativa chat, ha trovato la richiesta di riscatto: per decifrare tutti i computer crittografati sulla rete è stato chiesto il corrispettivo in bitcoin di 23.000.000 dollari.
MHT ha anche pubblicato un elenco abbastanza preciso dei dati crittografati: passaporti dei dipendenti, tessere sanitarie, corrispondenza email. Sempre dalla stessa fonte arriva la notizia del ricatto: qualora l'azienda non ottemperasse alle richieste, i cyber criminali minacciano di pubblicare l'intero lotto di circa 1 TB di dati. In questo momento non è dato sapere se e con che esito siano state condotte le trattative.

Quello che si sa è che Clop è tristemente noto: è lo stesso ransomware che ha colpito l'Università di Maastricht il 23 dicembre 2019. In quell'occasione intascò un riscatto pari a 30 bitcoin (all'incirca 330mila dollari).