Attacco ransomware a Conad, scaduto il termine per pagare il riscatto gli hacker pubblicano i dati rubati
L’ennesimo attacco informatico che colpisce l’Italia ha come obiettivo Conad, il consorzio di imprenditori indipendenti del commercio al dettaglio con sede a Bologna e che gestisce l’omonima catena di supermercati.
L’attacco non avrebbe avuto impatti sull’operatività del sito, ma avrebbe permesso ai cyber criminali di sottrarre documenti riservati che i pirati informatici minacciavano di rendere pubblici se Conad non pagava un “riscatto” entro 72 ore.
L’attacco si colloca in quella che ormai è una strategia consolidata dei gruppi criminali specializzati in ransomware. Se nella versione “classica” gli attacchi ransomware prevedevano l’utilizzo di un malware in grado di crittografare i dati sui server compromessi e bloccarne così le attività, il nuovo corso dei pirati informatici mira anche alla sottrazione di documenti e informazioni confidenziali che vengono usati come leva per estorcere un riscatto alle aziende colpite. Se non pagano, i documenti vengono pubblicati.
Di solito, questo schema porta a quella che nel settore della cyber security viene definita “doppia estorsione”. Un primo riscatto viene chiesto per ottenere la chiave crittografica che permette di sbloccare i sistemi, mentre il secondo pagamento viene chiesto per non rendere pubblici i documenti sottratti.
Sempre più spesso, però, le cyber-gang specializzate in estorsioni puntano solo sul secondo aspetto, limitandosi a rubare le informazioni dai sistemi informatici delle vittime, come è accaduto nel recente caso del Bologna FC.
La rivendicazione dell’attacco è comparsa sul Dark Web a opera del gruppo Lynx, che sul suo “sito di rappresentanza” ha pubblicato la segnalazione dell’avvenuto attacco accompagnato da un conto alla rovescia che indica il tempo a disposizione di Conad per contattare i cyber criminali e pagare il riscatto. Il countdown, mentre scriviamo, indica poco più di 3 giorni di tempo per avviare i contatti che dovrebbero portare al pagamento.
Lynx non è uno dei gruppi ransomware più attivi, ma l’elenco delle vittime pubblicato sul sito comprende alcune decine di aziende. Come da tradizione, per ogni vittima vengono pubblicati alcuni documenti come prova della veridicità della rivendicazione.
Nel caso di Conad, il gruppo Lynx sembra essersi limitato a esfiltrare i documenti, senza provocare danni all’infrastruttura IT del consorzio. Il sito web di Conad e i servizi telematici, infatti, funzionano regolarmente. I cyber criminali, inoltre, non forniscono nessuna indicazione della quantità di dati sottratti ma si limitano a definirli come relativi a “risorse umane e clienti”.
I file visibili (ma pubblicati in modo che siano difficilmente leggibili) sono versioni digitalizzate di documenti cartacei e comprendono capitolati, oltre a corrispondenze con clienti e fornitori.
Informazioni particolarmente “sensibili”, soprattutto per una realtà che opera in un settore, come quello della vendita al dettaglio di generi alimentari, in cui gli accordi commerciali hanno un forte impatto sul business ed eventuali informazioni riservate possono avere pesanti conseguenze a livello di reputazione.
Il 15 gennaio Conad aveva rilasciato un comunicato ufficiale in merito: "Consorzio Nazionale Dettaglianti (Conad) Soc. Coop. ha subito, in data 20 novembre 2024, un attacco informatico ai propri sistemi, prontamente respinto grazie alle misure di difesa immediatamente implementate. Conad ha verificato che una piccola quantità di dati – non strutturati e non rilevanti, non riferiti in alcun modo ai clienti dell’insegna – potrebbe essere stata oggetto di copia. Subito dopo l’attacco, Conad ha prontamente informato il Garante per la protezione dei dati personali e la Polizia Postale. In queste ore, dopo aver ricostruito ulteriormente la vicenda attraverso informazioni diffuse apparentemente su siti web riconducibili ai criminali responsabili dell’attacco stesso, Conad ha depositato una denuncia relativa all’accaduto presso la Procura della Repubblica di Bologna".
Scaduto poi il termine, il 17 gennaio Fanpage ha reso noto che il gruppo di cyber criminali Lynx ha reso pubblici i dati rubati durante l’attacco ransomware ai database dei supermercati Conad. Secondo quanto riporta la testata online, da quello che si può vedere senza aprire i file sembra che i dati pubblicati includano diverse categorie di documenti. Ci sono file e cartelle che alludono ai contratti con i fornitori, ad assicurazioni, a piani marketing per il 2025 e accordi. Ci sono cartelle in cui sembrano raccolte le lettere di assunzione, le paghe dei dipendenti e addirittura i vecchi piani ferie.
Fonti: Wired e Fanpage
