Chiara Nardini : 7 Luglio 2023 12:17
La banda di criminali informatici di Play ransomware, rivendica oggi un attacco ransomware ad una organizzazione italiana, la Lawer SpA.
Ancora non sappiamo se tali dati risultano di proprietà dell’azienda, anche perché non è ancora presente all’interno del loro sito nessun comunicato stampa relativamente all’accaduto.
Play avvia il consueto “countdown” fissato a 6gg, data della pubblicazione dei dati esfiltrati dalle infrastrutture IT dell’azienda nelle underground.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Play riporta nel suo annuncio, che i dati sottratti dall’azienda sono “Dati confidenziali privati e personali, dati dei clienti e documenti dei dipendenti, passaporti, contratti, dati finanziari e così via”.
Ricordiamo sempre che la pubblicazione di un avviso sul data leak site (DLS), consente alle gang ransomware di aumentare la pressione nei confronti delle organizzazioni violate per costringerle a pagare il riscatto, pena la pubblicazione delle informazioni sottratte dalle loro infrastrutture IT.
Al momento non conosciamo l’ammontare della richiesta economica di riscatto, ma tali richieste risultano sempre commisurate alle revenue e alla quantità/tipologia dei dati acquisiti dalla cyber gang.
Lawar SpA è “una realtà solida e italiana, un’eccellenza riconosciuta a livello internazionale, dal 1970 specializzata in sistemi di dosaggio industriale. Una tecnologia d’avanguardia nella dosatura automatica di prodotti in polvere e liquidi (pigmenti, additivi, chimici, ingredienti vari), sistemi di pesatura singola o multipla, impianti per la preparazione di mescole, cariche, color masterbatch, sistemi di movimentazione e confezionamento”, viene riportato sul sito dell’azienda.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.
Nel caso in cui l’azienda voglia fornire una dichiarazione a RHC, saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.
Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.
Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:
LockBit è una cyber gang criminale che adotta il modello ransomware-as-a-service (RaaS), anche se la sua struttura presenta variazioni che la differenziano da un tipico modello di affiliazione.
Play ransomware (noto anche come PlayCrypt) è una operazione ransomware lanciata nel giugno 2022. L’operazione ha accumulato un flusso costante di vittime in tutto il mondo. Play ha recentemente fatto notizia per aver attaccato la magistratura argentina di Cordoba e la catena alberghiera tedesca “H-Hotels”.
Gli attacchi di Play si concentrano sulle organizzazioni della regione dell’America Latina, il Brasile è stato da sempre il loro obiettivo principale, anche se sono stati osservati attacchi in India, Ungheria, Spagna e Paesi Bassi.
Play è noto per le sue tattiche di “caccia grossa”, come l’utilizzo di Cobalt Strike per il post-compromesso e SystemBC RAT per la persistenza.
Il gruppo ha sfruttato anche exploit di largo consumo come ad esempio ProxyNotShell in Microsoft Exchange. Il gruppo ha anche tattiche e tecniche simili ai gruppi di ransomware Hive (chiuso ad inizio del 2023) e di Nokoyawa, portando i ricercatori a credere che Play sia gestito dalle stesse persone.
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.
Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.
Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
Chi si occupa di sicurezza informatica ricorderà bene l’attacco del gennaio 2022 contro la SIAE, la Società Italiana degli Autori ed Editori. All’epoca, il colpo fece molto sca...
Nel mondo della cybersecurity, ogni innovazione tecnologica porta con sé nuove opportunità… e gli hacker criminali sono subito pronti a trarne un loro vantaggio. pertanto ogni nuova t...
E’ stata pubblicata da Ivanti una vulnerabilità critica, che interessa i suoi prodotti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure e ZTA Gateway monitorata con il codice CVE...
Di vulnerabilità con CVSS di gravità 10 se ne vedono pochissime (per fortuna), ma questa volta siamo di fronte ad una gravissima falla di sicurezza che minaccia Apache Parquet. Si tratta di ...
I fallimenti fanno parte della nostra vita, quanti di noi ne ha avuti e quanti ne continueremo avere? Oggi parliamo di un codice, un codice semplice snello e schietto, il codice 404. Scopriremo che no...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006