Il 5 settembre 2024, la società di ransomware RansomHub ha rivendicato un attacco contro Kawasaki Motors Europe (KME), una sussidiaria della Kawasaki Heavy Industries, Ltd. L’attacco ha causato interruzioni dei servizi e ha messo in pericolo i dati sensibili della società. In questo articolo, esploreremo i dettagli dell’attacco, le misure adottate da KME per ripristinare la sicurezza e fornire consigli su come proteggere le organizzazioni da simili attacchi.
Dettagli dell’Attacco
Il 5 settembre 2024, RansomHub ha aggiunto KME al suo portale di estorsione sul dark web, rivendicando la ruberia di 487 GB di dati dai sistemi di KME. La società ha annunciato che l’attacco ha colpito i suoi sistemi di EU headquarters, causando interruzioni dei servizi temporanee fino a quando non è stata attivata una strategia di ripristino.
Misure di Ripristino
KME ha isolato tutti i server come precauzione e ha iniziato un processo di pulizia per identificare e rimuovere qualsiasi materiale sospetto, come malware. L’IT staff di KME ha collaborato con esperti di cybersecurity esterni per verificare i server uno per uno prima di riattivarli nella rete aziendale.
Impatto Sulle Operazioni
Nonostante l’attacco, KME ha assicurato che le operazioni commerciali, comprese le concessionarie, i fornitori terzi e le operazioni logistico-commerciali, non sono state colpite. La società sta lavorando per ripristinare il 90% del suo infrastruttura server entro la fine della settimana successiva.
RansomHub: Un Gruppo di Ransomware Prolifico
RansomHub è un gruppo di ransomware che è diventato molto prolifico dopo la chiusura dell’operazione BlackCat/ALPHV. Molti affiliati di BlackCat hanno migrato al nuovo programma di ransomware-as-a-service di RansomHub, aumentando così la sua capacità di eseguire attacchi efficaci.
Vittime Notabili
RansomHub ha già colpito diverse organizzazioni importanti, tra cui una divisione di Rite Aid, Frontier, Planned Parenthood, Halliburton e Christie’s. Un avviso congiunto tra l’FBI, CISA e il Dipartimento di Salute e Servizi Umani (HHS) ha riferito che RansomHub ha violato 210 vittime provenienti da una vasta gamma di settori critici dell’infrastruttura statunitense dal suo lancio nel febbraio 2024.
Consigli per la Protezione
Per proteggere le organizzazioni da simili attacchi, è importante adottare una serie di misure proattive:
1. Monitoraggio Continuo
- Implementare un sistema di monitoraggio continuo per rilevare eventuali attività sospette sui sistemi.
- Utilizzare strumenti di sicurezza avanzati per identificare e bloccare il malware.
2. Formazione e Consapevolezza
- Formare il personale sulla sicurezza informatica e sul riconoscimento dei segni di attacchi.
- Promuovere la consapevolezza tra i dipendenti sui rischi associati ai ransomware e come agire in caso di attacco.
3. Backup Regolare
- Eseguire backup regolari dei dati importanti in un luogo sicuro e non connesso alla rete aziendale.
- Testare i backup periodicamente per assicurarsi che siano funzionanti e accessibili.
4. Pianificazione di Emergenza
- Creare un piano di emergenza per gestire le situazioni di crisi, incluso un protocollo di risposta rapida in caso di attacco.
- Identificare i contatti chiave e le risorse necessarie per affrontare l’incidente.
5. Collaborazione con Esperti
- Collaborare con esperti di cybersecurity per valutare la vulnerabilità dei sistemi e implementare misure di sicurezza adeguate.
- Utilizzare servizi di sicurezza esterni per supportare la gestione degli incidenti e la riparazione dei danni.
6. Comunicazione Transparente
- Comunicare trasparentemente con i clienti e i fornitori in caso di incidente, mantenendo loro informati sulle misure adottate per ripristinare la sicurezza.
- Assicurarsi di rispettare le normative sulla protezione dei dati, notificando le autorità competenti se necessario.
L’attacco di RansomHub a Kawasaki Motors Europe è un esempio chiaro della minaccia rappresentata dai ransomware. Per proteggere le proprie organizzazioni, è essenziale implementare misure proattive di sicurezza, monitorare continuamente i sistemi, formare il personale e avere un piano di emergenza in place. La collaborazione con esperti di cybersecurity e la comunicazione trasparente con i clienti e i fornitori sono altrettanto importanti per gestire efficacemente gli incidenti di sicurezza informatica.
