L'errore umano è al centro dei recenti attacchi ransomware contro i giganti del commercio al dettaglio nel Regno Unito

Diversi recenti attacchi ransomware ai rivenditori del Regno Unito dimostrano che l'errore umano è un fattore primario nelle violazioni della sicurezza informatica. I recenti incidenti che hanno coinvolto Marks & Spencer (M&S), Harrods e Co-op evidenziano come il rischio umano svolga un ruolo critico nel consentire questi attacchi. Sebbene le vulnerabilità tecniche contribuiscano al problema, il fattore di fondo rimane spesso il comportamento umano, sia attraverso credenziali compromesse che protocolli di helpdesk sfruttati. 

Marks & L'attacco di Spencer: Interruzione prolungata e ripercussioni sui fornitori 

Il gigante britannico della vendita al dettaglio Marks & Spencer ha lavorato questo mese per affrontare le conseguenze di un importante attacco ransomware. L'incidente è attribuito agli attori della minaccia noti come Scattered Spider. L'attacco ha interrotto i sistemi di pagamento, ha bloccato gli ordini online e ha costretto centinaia di lavoratori del magazzino a rimanere a casa. Al momento in cui scriviamo, gli ordini online sono ancora sospesi e l'azienda ha tolto gli annunci di lavoro dal suo sito web e ha interrotto le attività di reclutamento. Alcuni negozi hanno dovuto far fronte a carenze alimentari, poiché alcuni sistemi sono stati messi offline per gestire l'attacco. I fornitori, tra cui Greencore e Nails Inc. hanno dichiarato alla BBC che ci sono state interruzioni e alcuni hanno fatto ricorso a processi manuali per tenere il passo con la domanda. Sebbene le vulnerabilità tecniche abbiano avuto un ruolo, la causa principale è da ricondurre al rischio umano, in particolare allo sfruttamento delle credenziali dei dipendenti.

Secondo molteplici rapporti, gli aggressori hanno violato i sistemi dell'azienda ottenendo il file NTDS.dit da un controller di dominio Windows, contenente credenziali con hash. Queste credenziali sono state probabilmente acquisite attraverso tattiche di ingegneria sociale, come il phishing o il bombardamento dell'autenticazione a più fattori (MFA), in cui gli utenti vengono sommersi da richieste MFA finché non ne approvano inavvertitamente una. 

 Il tributo finanziario dell'attacco di M&S è significativo. Le interruzioni degli ordini online sono costate all'azienda circa 3,8 milioni di sterline al giorno, mentre l'incidente più ampio ha potenzialmente cancellato 500-700 milioni di sterline dal suo valore di mercato. Il prezzo delle azioni dell'azienda è sceso di oltre 14% giorni dopo l'attacco. Il danno evidenzia come l'intersezione tra errore umano e ransomware possa portare a conseguenze aziendali catastrofiche. 

L'ingegneria sociale porta all'accesso alla rete e al furto di dati in un incidente di Co-op sblocca l'accesso alla rete 

Anche Co-op, un altro importante rivenditore del Regno Unito, è diventato un bersaglio questo mese. I criminali informatici hanno sfruttato le vulnerabilità umane prendendo di mira direttamente il personale IT. Secondo quanto riportato, gli aggressori hanno utilizzato tecniche di social engineering per convincere i lavoratori IT a reimpostare la password di un dipendente legittimo, consentendo un accesso non autorizzato ai sistemi critici. Una volta entrati, gli aggressori si sono mossi lateralmente attraverso la rete, ottenendo un accesso più profondo e potenzialmente raccogliendo dati sensibili, tra cui parti del database dei soci.

L'impatto dell'attacco è grave nelle isole della Scozia, dove Co-op è il principale rivenditore di generi alimentari. Molti negozi dicono di avere a che fare con carenze di prodotti alimentari freschi, tra cui latte, frutta e verdura. Le consegne ai negozi in tutto il Regno Unito sono state interrotte a causa dell'impatto dell'attacco sui sistemi logistici di Co-op. 

Per contenere la minaccia, Co-op ha adottato misure proattive come la parziale disabilitazione dell'accesso a Internet, la richiesta ai dipendenti di tenere accese le telecamere durante le riunioni e l'istruzione al personale di verificare l'identità dei partecipanti alle chiamate. Queste azioni riflettono un approccio stratificato per mitigare il potenziale movimento laterale una volta che si verifica una violazione. 

Anche il National Cyber Security Centre (NCSC) ha pubblicato una guida in seguito agli attacchi, consigliando ai rivenditori di rafforzare le procedure di reimpostazione delle password dell'helpdesk per ridurre il rischio di violazioni simili. Questa guida arriva mentre i gruppi di ransomware continuano ad evolvere le loro tattiche. Secondo l' ultimo rapporto della Coalition, le richieste di riscatto sono diminuite del 22% nel 2024, con una media di 1,1 milioni di dollari, e nella seconda metà dell'anno le richieste sono scese sotto il milione di dollari per la prima volta in oltre due anni. Questo calo è attribuito a un cambiamento di strategia, con gli aggressori che si concentrano sempre più sul furto di dati piuttosto che sull'estorsione basata sulla crittografia, evidenziando la necessità di pratiche solide di protezione dei dati.

Commercio al dettaglio sotto attacco: Anche Harrods è stato attaccato da attori minacciosi 

Anche Harrods, l'iconico grande magazzino di lusso del Regno Unito, ha recentemente confermato di essere stato preso di mira da un attacco informatico. In risposta ai tentativi di accesso non autorizzato, Harrods ha limitato in modo proattivo l'accesso a Internet in tutti i suoi siti, compreso il suo flagship di Knightsbridge e la sua piattaforma online, per salvaguardare i suoi sistemi. Sebbene l'azienda non abbia rivelato dettagli specifici sulla violazione, ha confermato che sono state coinvolte tattiche di ingegneria sociale. 

Obiettivi umani, attori umani. Scattered Spider e DragonForce: Un'alleanza d'attacco umano-centrica 

Gli attori delle minacce dietro gli attacchi sono noti come Scattered Spider e sono collegati a DragonForce, un gruppo di ransomware che opera come fornitore di Ransomware-as-a-Service (RaaS). DragonForce ha rivendicato la responsabilità degli attacchi a M&S, Co-op e del tentativo di hackeraggio di Harrods. Gli esperti di sicurezza ritengono che mentre DragonForce offre l'infrastruttura ransomware, Scattered Spider è tra gli affiliati che la utilizzano per condurre gli attacchi. Secondo l'agenzia statunitense CISA (Cybersecurity and Infrastructure Security Agency), piuttosto che affidarsi a exploit tecnici, questi gruppi manipolano i dipendenti attraverso tattiche come gli attacchi a fatica MFA, lo scambio di SIM, l'impersonificazione del personale di supporto IT e gli attacchi di phishing. La loro attenzione allo sfruttamento del comportamento umano piuttosto che dei sistemi li distingue dai gruppi di ransomware più tradizionali. Molti gruppi di ransomware si stanno allontanando sempre più dall'affidarsi esclusivamente al malware, concentrandosi invece sul furto di dati sensibili e credenziali a scopo di estorsione o di vendita sui forum del dark web. Questa evoluzione riflette una crescente preferenza per metodi meno rilevabili e più versatili, anche se il malware rimane uno strumento per alcuni.

I metodi di Scattered Spider spesso prevedono la creazione di ondate di attacchi rivolti a più organizzazioni dello stesso settore. In effetti, l'NCSC ha pubblicato un blog in cui si sottolinea che il settore retail dovrebbe stare in guardia contro gli attacchi ransomware e adottare misure per mitigarne il potenziale. 

Lo schema di Scattered Spider mira a massimizzare l'interruzione e l'attenzione pubblica, facendo leva sul rischio umano come punto centrale della compromissione. La collaborazione con gruppi come DragonForce consente loro di scalare rapidamente i loro sforzi, combinando phishing aggressivo e furto di credenziali con la distribuzione di ransomware. Scopra gli esempi delle tecniche utilizzate per ottenere l'accesso dal team di intelligence sulle minacce di Mimecast. 

Una recente ricerca di Mimecast rivela che il 95% delle violazioni di dati è causato da un errore umano e solo l'8% dei dipendenti è responsabile dell'80% degli incidenti di sicurezza. Le organizzazioni devono dare priorità all'identificazione delle persone ad alto rischio e all'implementazione di una formazione mirata per mitigare queste vulnerabilità. Inoltre, con oltre il 90% delle minacce trasmesse via e-mail, è fondamentale concentrarsi sul blocco di questi punti di ingresso per impedire agli aggressori di ottenere l'accesso alle credenziali e di muoversi lateralmente all'interno dei sistemi. I leader della sicurezza possono intraprendere queste azioni chiave per ridurre le vulnerabilità e rafforzare le difese contro gli attacchi ransomware. 

• Rafforzare le protezioni prima della consegna. Blocca il ransomware prima che raggiunga gli utenti, implementando solidi sistemi di rilevamento delle minacce. Si concentri sul filtraggio delle e-mail di phishing, degli allegati dannosi e dei siti web fraudolenti per ridurre al minimo i punti di ingresso per gli aggressori. Assicurarsi che le minacce basate sulle e-mail siano bloccate è un passo fondamentale per prevenire il furto di credenziali e il movimento laterale. 
• Monitorare e comprendere il rischio umano. Utilizzi i dati e le analisi per identificare le persone all'interno della sua organizzazione che potrebbero essere più vulnerabili alle minacce informatiche. Adottare misure proattive per affrontare i propri rischi attraverso una consapevolezza contestuale e piani d'azione personalizzati. 
• Equipaggiare e responsabilizzare i dipendenti. Fornisca regolarmente una formazione mirata sulla cybersecurity e promemoria tempestivi per aiutare i dipendenti a riconoscere e rispondere alle minacce. Incoraggi comportamenti come la verifica delle richieste di reimpostazione della password e la segnalazione di attività sospette come parte delle abitudini quotidiane. 
• Applica misure di sicurezza adattive. Sviluppare controlli di sicurezza flessibili che si adattano ai livelli di rischio. Questo permette a persone o scenari ad alto rischio di ricevere protezioni aggiuntive senza appesantire le operazioni complessive. 
• Dare priorità al rilevamento post violazione. Assicurarsi che le attività interne sospette siano attentamente monitorate. Rilevare e rispondere rapidamente a comportamenti insoliti, come movimenti di dati non autorizzati o comunicazioni dannose, per evitare ulteriori danni da account compromessi. 
• Garantire la resilienza dei dati. Mantenere backup sicuri e ridondanti di informazioni e file critici. Progettare sistemi che consentano un rapido ripristino dei dati, evitando la necessità di pagare riscatti e garantendo la continuità in caso di attacchi. 

Pensieri finali: Dal rischio alla resilienza 

Il ransomware è una minaccia persistente e i recenti attacchi evidenziano come il comportamento umano sia spesso una vulnerabilità chiave. Per rafforzare le difese è necessario concentrarsi sulle misure preventive, dotando i dipendenti di conoscenze e strumenti per ridurre gli errori e monitorando attentamente le attività insolite. Mimecast rafforza questi sforzi bloccando oltre il 90% delle minacce basate sulle e-mail alla loro origine, impedendo agli aggressori di prendere piede. Affrontando il rischio umano e adottando un approccio completo alla cybersecurity, le organizzazioni possono ridurre significativamente le probabilità di cadere vittime di attacchi futuri.