Find results in Italiano
Please search something!

Attacchi phishing: il caso Menz & Gasser

Phishing, blocco della posta elettronica, blocco dell’infrastruttura IT e poi il fermo di una intera azienda. Un caso reale di attacco in cui il servizio di Incident Response di ACS Data Systems ha fatto la differenza e ha permesso di limitare i danni a Menz&Gasser.
Group 29 Copy 2Created with Sketch.
Group 29 Copy 2Created with Sketch.
Attacchi phishing: il caso Menz & Gasser

Come spesso accade è cominciato tutto un venerdì: intorno all’una del pomeriggio alcuni sistemi cominciano a non rispondere, le tre sedi dell’azienda manifatturiera (Trento, Verona e Malesia) cominciano a fare i capricci, così un manager del team IT interno, decide di chiamare la squadra di ACS Data Systems, che offre un proprio servizio di pronto intervento detto Incident Response.

«Le tre infrastrutture IT presenti nelle tre sedi comunicavano tra loro, ma ogni sede di fatto aveva vita autonoma a livello ICT. Noi di ACS gestivamo server, storage, backup ma nulla in termini di cybersecurity... i segnali arrivati e le prime verifiche hanno evidenziato una situazione subito molto grave e siamo arrivati di corsa mobilitando un team di undici persone, cinque on site e sei da remoto».

Comincia così il racconto di Mauro Gottardi, Area Manager Trento e Verona di ACS Data Systems SPA, storico IT Service Provider di eccellenza sul territorio italiano. E soprattutto continua con la testimonianza video esclusiva, correlata all’articolo, di Matthias Gasser, CEO di Menz&Gasser, azienda leader in Italia e in Europa nella produzione di confetture e semilavorati di frutta e verdura: «Siamo una realtà che ha alle spalle 80 anni di storia. Da un punto di vista dimensionale siamo la classica azienda italiana, con circa 200 milioni di fatturato e 600 collaboratori. Abbiamo stabilimenti a Novaledo (Trento), Sanguinetto (Verona) e uno in Malesia, da cui serviamo il mercato asiatico. Produciamo semilavorati di frutta e chi viaggia ci conosce con le monoporzioni che si trovano nei buffet dei ristoranti, su aerei e navi da crociera».

Phishing, blocco dei sistemi... un caso da studiare

Un caso, come tanti, di ordinaria e spesso imprevedibile insicurezza che vale la pena ascoltare e conoscere da vicino in un momento in cui, numeri del Clusit alla mano (Report 2022 della più importante associazione di sicurezza IT in Italia) oltre l’80% delle truffe cyber non solo va a segno ma ha impatti elevati e gravi sulle imprese del nostro Paese.
«La chiamata del famoso venerdì – racconta Gottardi – è come sempre solo la punta dell’iceberg. In realtà tutto è cominciato a metà mese con la classica mail di phishing (per approfondire il tema si veda l'articolo Sicurezza informatica, statistiche e riflessioni o la pagina dedicata al Phishing Training) che chiede le credenziali di accesso all’utente. Un utente che, in questo caso, di fronte ad una truffa molto ben scritta e credibile ha abboccato scatenando di fatto l’attacco. Una volta entrati nei sistemi, i criminali hanno avuto diversi giorni per studiare comportamenti, infrastrutture, posizionare alcune backdoor e capire bene come e quando mettere ko l’intero sistema di comunicazione».

Lo studio della vulnerabilità, poi l’attacco via email e il salto di qualità

Lo studio attento, dunque, poi l’identificazione del punto di accesso (forse tramite una Analisi OSINT) e, in questo caso, del PC più vulnerabile. Siamo al venerdì, giorno spesso scelto dagli hacker che prediligono il finesettimana, dove sferrano il loro attacco e cominciano a criptare file e documenti con l’intento poi di chiedere il classico riscatto per il loro “rilascio”.
«Appena arrivati abbiamo immediatamente fatto l’analisi su tutta l’infrastruttura per capire quali fossero gli ambiti già corrotti dall’attacco e identificarne il perimetro d’azione – racconta Gottardi – e soprattutto è stato riscontrato che già dai giorni precedenti si verificavano accessi alle caselle di posta da stati esteri che non erano congruenti con le posizioni degli utenti. Abbiamo ovviamente bloccato tutte le comunicazioni con l’interno e con l’esterno e, come spesso accade, non appena gli hacker si sono accorti che stavamo intervenendo hanno scatenato tutte le loro armi a disposizione. Hanno fatto partire tutte le azioni predisposte nei giorni precedenti mettendo di fatto messo ko tutte le infrastrutture ICT dei tre stabilimenti. Fortunatamente il tempo e la tempestività sono stati dalla nostra parte e così non sono riusciti a “intaccare” il backup aziendale. Ma questo però non ci permetteva di avere certezze riguardo a cosa erano riusciti a “infiltrare” tra i dati».

Il primo intervento, i tempi

Il primo intervento del venerdì, si è protratto fino a notte inoltrata ed è proseguito fino al lunedì successivo, quando i servizi principali erano stati completamente ripristinati, identificando ed eliminando anche le backdoor introdotte dagli hacker per riprendere l’attacco in caso di fallimento. Ma sono inevitabilmente servite diverse settimane per rimettere completamente in moto le tre sedi, soprattutto da un punto di vista produttivo, un lasso di tempo durante il quale l’azienda si è completamente fermata: merci in transito bloccate, comunicazioni ferme, mancate consegne, deterioramento di materie prime, centinaia di dipendenti immediatamente in cassa integrazione.
«Un danno da diverse centinaia di migliaia di euro – racconta Gottardi – e una pressione senza precedenti sui tempi di ripristino. Il nostro team Security & Networking ha lavorato senza sosta andando a bonificare tutte le infrastrutture. Passo dopo passo siamo riusciti a riattivare a ruota la sede di Trento, successivamente di Verona e della Malesia: ma per il 100 per cento dell’operatività ci sono volute circa quattro settimane».

«Avere un partner di valore al proprio fianco, oggi, fa tutta la differenza del mondo»

Un danno importante, una truffa difficile da fermare e una lezione da imparare.
«Avere un partner al proprio fianco, che aiuta a mettere in discussione le proprie consuetudini, formare le persone e installare i sistemi di protezione migliori possibili è sicuramente una cosa importante - racconta Matthias Gasser - In occasione dell’attacco in questione ACS ci ha davvero aiutato mettendoci a disposizione una task force impressionante, seguendoci giorno e notte, sabato e domenica, passo dopo passo. In questo modo hanno salvato il salvabile e limitato i danni, riuscendo così a venirne fuori nonostante alcune settimane di fermo e relative difficoltà di produzione e di collegamenti tra gli stabilimenti. Però con tanto impegno e lavoro siamo riusciti a raddrizzare la situazione».

Un’esperienza che ha dunque lasciato un prezioso insegnamento a Menz&Gasser: «È un po’ come la guida della macchina: digitalizzazione significa viaggiare insieme a un rischio residuo, quello della sicurezza. Sta a noi limitarlo al massimo scegliendo di affiancarci ai partner giusti e mettendoci il necessario impegno».


Articolo pubblicato su sergentelorusso.

Scopri il servizio Incident Response di ACS