Ammontano a 34mila le credenziali Ibm messe in vendita nel dark web e 15mila sono quelle riconducibili a Sap. L’operazione di cybercrime è stata messa a segno da NetSec e secondo quanto rivela il team di Threat Intelligence di Yoroi nel campione sono presenti indirizzi e-mail aziendali di dipendenti della filiale italiana. “Il campione in vendita è composto sia da indirizzi e-mail di impiegati sia delle relative password in forma codificata. Seppure non siano disponibili in chiaro, il semplice possesso di queste password consente di effettuare una serie di attacchi sia diretti che mediati dall’ingegneria sociale”, spiega il team di Yoroi.
Le password in vendita sotto forma di hash
Secondo Marco Ramilli, ceo di Yoroi (Gruppo Tinexta) “non importa la dimensione dell’organizzazione, è ormai evidente che siamo tutti soggetti ad attacchi. Però sono accadimenti come questi che continuano a mostrarci quanto la sicurezza informatica sia un ciclo atto al continuo miglioramento. Non possiamo mai ritenerci completamente sicuri. Ma bisogna insistere con un continuo lavoro attento e meticoloso, possibile con occhi vigili e tecnologie abilitanti”.
Le password messe in vendita sono in forma di hash, ossia di una stringa alfanumerica generata a partire dalla password tramite particolari algoritmi crittografici che consentono di “offuscare” la password vera e propria e portarla ad una lunghezza uniforme, indipendentemente dalla dimensione del valore di partenza. Anche le password così codificate – spiegano da Yoroi – possono essere superate con specifiche tecniche di attacco e sfruttate per impersonificare specifiche utenze, e utilizzate da attori malevoli per eseguire codice o accessi abusivi a sistemi informativi.
Ibm: “Non ci risulta ma in corso verifiche”
“Siamo a conoscenza di un comunicato riguardante le presunte credenziali dei dipendenti Ibm. Stiamo attualmente indagando. Ricordiamo che l’autenticazione a più fattori è una delle misure di sicurezza richieste dalle procedure operative Ibm per l’accesso ai sistemi. Non risulta che sia stato effettuato un accesso inappropriato ai sistemi Ibm o dei clienti”: è quanto dichiara Ibm in uno statement.
Sap: “In corso indagine approfondita ma al momento nessuna prova”
Riguardo a Sap l’azienda afferma di essere “a conoscenza del fatto che alcune e-mail dei dipendenti siano state pubblicate ed è anche a conoscenza di affermazioni secondo cui sono state scoperte password dei dipendenti Sap crittografate. È in corso un’indagine approfondita, ma al momento non abbiamo alcuna prova che sia stato effettuato l’accesso ai sistemi Sap, né che le informazioni personali dei dipendenti siano state prese di mira”.
Swascan: in Italia +357% di vendite su dark web
A confermare il trend uno studio del Soc e Cyber Threat Intelligence Team di Swascan, azienda italiana parte del polo Cyber di Tinexta Group secondo cui migliaia di contatti telefonici e email, informazioni di aziende private e pubbliche italiane sono in vendita nel darkweb. In particolare, analizzando solo due tra i principali forum presenti sul dark web, sono stati rilevati costantemente annunci in riferimento all’Italia, con inserzioni relative alla richiesta di acquisto ma anche di vendita di credenziali di accesso e dati. Confrontando i dati raccolti a giugno con quelli di agosto, abbiamo potuto rilevare come queste ‘inserzioni’, in cui vengono venduti – ma anche richiesti – i dati privati, tra cui le credenziali, dei nostri connazionali sono ‘esplosi’ con un incremento di oltre il 300% (357%, per l’esattezza) di richieste, spiega l’azienda. Aumentato anche l’interesse nei confronti delle infrastrutture critiche e il 25 agosto è stato rintracciato un annuncio che millantava la possibilità di acquistare 36.000 documenti apparentemente appartenenti alla Pubblica Amministrazione.
