Ferrari vittima di ransomware, 7 GB di dati rubati (e molti dubbi)

Anche Ferrari è caduta vittima di attacco ransomware. L’azienda della “rossa”, simbolo del made in Italy e sogno degli appassionati di auto, ha subìto il furto di 7 GB di dati o così, almeno, ha affermato il gruppo cybercriminale RansomEXX in post pubblicato ieri sul proprio dito di data leak, insieme a un estratto del bottino di dati. La collezione include documenti interni della casa automobilistica, schede dati, manuali di riparazione e altro ancora. La gang minaccia ora di pubblicare questi dati, a meno di non ricevere il pagamento del riscatto.

I siti che hanno riportato la notizia (al momento non confermata dall’azienda di Maranello) hanno spiegato che la rivendicazione pubblicata online da RansomEXX non specifica l’ammontare del riscatto. Presumibilmente la richiesta monetaria è già stata fatta a Ferrari e altrettanto presumibilmente l’azienda si è rifiutata di pagare, spingendo gli autori dell’attacco a passare alle maniere forti e minacciare la pubblicazione dei dati.

Non c’è nulla di certo, dunque, ma sappiamo che  RansomEXX è un problema noto tra gli addetti ai lavori (TrendMicro, per esempio, ne ha parlato dettagliatamente). Conosciuta anche come Defray777, si tratta di una variante ransomware che è emersa per la prima volta nel 2020 e che opera secondo il modello “as a service” (ovvero rivende ad altri attori criminali strumenti di attacco già pronti all’uso). All’attivo ha diversi colpi notevoli: lo scorso marzo, per esempio, RansomEXX ha violato i sistemi informatici di un ente benefico scozzese per il supporto alle malattie mentali, ricavandone 12 GB di dati (tra cui informazioni personali e dettagli bancari dei volontari dell’associazione).

Tornando a Ferrari, non è chiaro nemmeno quale ramo d’attività della casa di Maranello sia stato coinvolto, anche se l’accenno alle schede dati (datasheet) fa pensare all’ambito della progettazione e produzione. Non sappiamo se i dati della scuderia siano stati intaccati. Recentemente il team Ferrari ha abbandonato il suo storico fornitore di cybersicurezza e sponsor, Kaspersky, sull’onda del conflitto russo-ucraino e delle conseguenti raccomandazioni dell’Agenzia nazionale per la Cybersicurezza Nazionale. Al posto di  Kaspersky (che nel frattempo continua a ribadire il valore della trasparenza e a dimostrarsi interessata al mercato italiano), la scuderia del “Cavallino” ha scelto Bitdefender. L'attacco si è comunque verificato in una fase in cui ancora Ferrari non ha adottato le tecnologie di questo vendor, che dunque non è in alcun modo coinvolto nell'accaduto.

In ogni caso, sarebbe arbitrario fare collegamenti fra le tecnologie di cybersicurezza usate da Ferrari in questo momento e l’attacco ransomware rivendicato da RansomEXX. Non è chiaro, innanzitutto, quale sia la divisione aziendale o il ramo di attività interessato dal data breach, né sappiamo quale sia stato il punto di ingresso del ransomware e quali le tempistiche dell’infezione. In operazioni di questo tipo, la crittografia e l’eventuale sottrazione di dati sono spesso l’ultimo anello di una catena d’attacco complessa, che sfrutta non solo le debolezze delle risorse IT (vulnerabilità non risolte, configurazioni errate, software non aggiornati) ma anche e soprattutto le debolezze delle persone (utenti di posta elettronica che non riconoscono un messaggio malevolo).