Cominciamo dai fatti:
Lunedì 10 dicembre 2018, la Saipem (Società Anonima Italiana Perforazioni E Montaggi), società italiana presente in tutto il mondo con circa 32.000 dipendenti, denuncia pubblicamente con uno stringato comunicato stampa di aver identificato un attacco informatico diretto contro i propri server e che erano in corso le attività di indagine e denuncia del fatto alle autorità.
Due giorni dopo, dodici dicembre 2018, nuovo comunicato stampa:
"L'attacco informatico ha colpito i server basati nel Middle East, India, Aberdeen e, in modo limitato, l'Italia attraverso una variante del Malware Shamoon. L'attacco ha comportato la cancellazione di dati e di infrastrutture, effetti tipici del malware. Le attività di ripristino, in modalità graduale e controllata, sono in corso attraverso le infrastrutture di back-up e, quando completate, consentiranno la piena operatività dei siti impattati..."
Ora, vediamo di capire qualcosa di più.
Per farlo ci spostiamo sulla stampa internazionale.
Il 13 dicembre su Insurance Journal si può leggere che sono stati colpiti tra i 300 e i 400 server e più di 100 computer, dati attribuiti al Capo del settore Digital e Innovation, Mauro Piasese.
Inoltre sempre su Insurance Journal si fa riferimento all'attacco massivo del 2012 alla società Aramco (Arabia Saudita) e RasGas (Qatar), attacco attribuito all'Iran (paternità sempre negata da Teheran) e che colpì decine di migliaia di computer. La società Aramco è il principale cliente della Saipem. Secondo Adam Meyer, vice presidente della società americana di cyber security CrowdStrike, la nuova variante del malware Shamoon presenta delle similitudini alla campagna condotta nel 2012 che fanno pensare alla possibilità che ci sia ancora l'Iran dietro questo attacco.
Sempre il 13 dicembre sul sito della Reuters viene affermato che la Saipem non corre alcun rischio finanziario a causa dell'attacco cyber... evitiamo commenti, sarà il tempo a dare una risposta.
Ieri, 14 dicembre, su Difesa e Sicurezza appare ancora un articolo con qualche informazione in più. Secondo l'autore le società italiane sono infatti vittime di attacchi programmati, apprendiamo inoltre che le varie versioni del malware hanno qualcosa in comune, infatti sfruttano il "Windows Server Message Block (SMB)" per diffondersi all'interno dei sistemi e distruggere i dati.
Dalle dichiarazioni ufficiali non è possibile conoscere le caratteristiche tecniche dei server e dei computer colpiti ne delle reti o dei sistemi di sicurezza impiegati ma in ogni caso riteniamo sia importante ricordare che un sistema non aggiornato è un sistema insicuro per cui una visita alla pagina di Microsoft Security Update potrebbe essere una buona cura preventiva.
Da anni ormai si parla nel mondo di attacchi Cyber... c'è ancora qualcuno che pensa che non siano un pericolo?
Il vero pericolo è quello di sottovalutare i rischi che si corrono o, peggio ancora, di ignorarli e pensare che queste cose accadano solo agli altri!
Alessandro RUGOLO
Per approfondire:
- http://www.saipem.com/sites/SAIPEM_it_IT/con-side-dx/comunicato%20stampa/2018/Attacco%20informatico.page
- http://www.saipem.com/sites/SAIPEM_it_IT/con-side-dx/comunicato%20stampa/2018/Aggiornamento%20attacco%20informatico.page
- https://www.insurancejournal.com/news/international/2018/12/13/511880.htm;
- https://www.reuters.com/article/us-saipem-cyber/saipem-revenues-will-not-be-impacted-by-cyber-attack-idUSKBN1OC1D4;
- https://www.cybersecitalia.it/data-breach-maxi-cyber-attacco-alla-saipem/7162/
- https://www.difesaesicurezza.com/cyber/le-aziende-in-italia-sono-vittime-di-attacchi-hacker-a-tempo-il-caso-saipem-lo-conferma/;
- https://argonsys.com/learn-microsoft-cloud/library/windows-10-protection-detection-and-response-against-recent-depriz-malware-attacks/;
- https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/6c54acc6-2ed2-e811-a980-000d3a33a34d
