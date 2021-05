Dopo Colonial Pipeline e il sistema sanitario irlandese, un’altra grande organizzazione ha subìto un attacco ransomware, nel quale i dispositivi informatici vengono conquistati da un gruppo criminale, che chiede il pagamento di un riscatto in cambio della loro restituzione.

Questa volta è toccato a Bose, azienda specializzata nella produzione di apparecchi audio, che ha notificato il fatto lo scorso 19 maggio, con una lettera inviata all’ufficio del procuratore generale dello Stato americano del New Hampshire: nel documento, pubblicato da Bleeping Computer e confermato dalla stessa azienda, si apprende che l’attacco è stato scoperto il 7 marzo e che sono stati “immediatamente attivati i protocolli di gestione dell’incidente, contenendolo e rafforzando le misure di sicurezza”. Inoltre, “non abbiamo pagato alcun riscatto”, ha fatto sapere la compagnia, che sarebbe dunque riuscita a riprendere il controllo delle proprie infrastrutture senza dover cedere alle richieste degli attaccanti, tuttora ignoti.

Come spiegato dalla stessa Bose alle autorità, l’emergenza sarebbe stata gestita grazie all’aiuto di periti forensi ed esperti informatici, che hanno permesso il ripristino dei sistemi, appunto senza cedere al ricatto. Nell’analisi, compiuta per accertare la provenienza del virus, si è scoperto che i criminali informatici hanno sottratto le informazioni di alcuni dipendenti ed ex-dipendenti (6 in tutto) i quali sono stati informati dalla stessa azienda, che ha offerto loro 12 mesi di assistenza per prevenire l’uso improprio di quelle informazioni, comprensive di dati personali e numeri di previdenza sociale. Contattata da Italian Tech, l’azienda non ha immediatamente commentato.

L’analisi forense

Immediatamente dopo l’accaduto, Bose ha richiesto che il Web e il cosiddetto Dark Web, l’infrastruttura informatica che permette l’anonimato di chi naviga, venissero scandagliati alla ricerca di indizi di fughe di dati, sempre più comuni anche nel caso di attacchi ransomware. L’utilizzo di informazioni sottratte alle aziende, pur se lo scopo dell’attacco è solamente quello di interromperne l’operatività, è sempre più comune da parte dei criminali, che potrebbero voler esercitare una pressione pubblica contro la vittima, in modo da spingerla a pagare il riscatto quanto prima: “Bose non ha ricevuto alcun segnale dalle attività di monitoraggio o dai dipendenti che alcuna informazione sia stata illegalmente condivisa”, si legge nella lettera, che annuncia anche il coinvolgimento delle autorità federali per condurre l’indagine.

Tra le misure adottate in risposta all’emergenza, Bose ha ripristinato le password di tutti i dipendenti e isolato i file compromessi utilizzati per diffondere l’infezione del virus.