Attacco ransomware alla San Carlo. La Timeline dell’incidente.

Redazione RHC : 26 Ottobre 2021 20:44

San Carlo Gruppo Alimentare S.p.A. è un’azienda italiana con sede a Milano e specializzata nella produzione di patatine, grissini, crostini, popcorn, pangrattato, toast, piadine e tramezzini.

Nel 1936 Francesco Vitaloni apre a Milano insieme alla moglie Angela una rosticceria in via Lecco 18, che chiama San Carlo come la vicina chiesa di San Carlo al Lazzaretto. Nel negozio si frigge di tutto, dal pollo alla verdura.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Arriviamo fino ad i giorni di oggi, dove nessun italiano non conosce questa grandissima azienda italiana che rallegra le nostre tavole durante le feste e i banchetti. Ma nella giornata di venerdì 22 ottobre 2021, qualcosa è andato storto all’interno dei sistemi informativi dell’azienda. Di seguito pubblichiamo la Timeline degli eventi relativi all’incidente di sicurezza dell’azienda San Carlo.

22 Ottobre 2021

L’attacco ransomware alla San Carlo è stato sferrato dalla cyber-gang Conti nella giornata di venerdì 22 ottobre, mentre tutta l’Italia stava leggendo le notizie dell’incidente avvenuto alla SIAE. Inizialmente non sono state riportate notizie sui media main-stream fino al successivo 25/10, data della pubblicazione del post sul DLS (data-leak-site) Conti News della nota cyber Gang.

25 Ottobre 2021

Nella tarda serata del 25/10, intorno alle 19:00 circa, viene pubblicato all’interno del data-leak-site di Conti Ransomware, un post che riporta la violazione, con il nome dell’azienda con 60MB di dati trafugati, con dei sample che ne attestano la reale violazione.

Red Hot Cyber è la prima rivista che ha pubblicato questa news sul proprio sito.

Cosa è successo

All’interno del post di Conti, viene riportato oltre al sito internet della SAN CARLO GRUPPO ALIMENTARE SPA, anche:

SAN CARLO GRUPPO ALIMENTARE SPA si trova a MILANO, Italia e fa parte del settore dei grossisti di generi alimentari e prodotti correlati. SAN CARLO GRUPPO ALIMENTARE SPA ha 310 dipendenti in questa sede e genera 270,18 milioni di dollari di vendite (USD). Sono 340 le aziende della famiglia aziendale SAN CARLO GRUPPO ALIMENTARE SPA.

I dati trafugati

Red Hot Cyber ha immediatamente avviato delle analisi per comprendere sia l’entità del danno che l’autenticità dei dati accedendo al sito di Conti News.

I dati presenti nel post non erano molti, come detto in precedenza si trattava di 60 MB ma tra queste informazioni erano presenti dei passaporti, delle carte di identità, delle informazioni di budget, delle fatture e dei numeri di cellulari associati a delle persone e a delle (presumibilmente) filiali.

Al momento non era conosciuta la richiesta di riscatto e se erano in corso trattative tra la San Carlo e la cyber-gang Conti. Di seguito vengono riportati alcuni sample che risultavano accessibili sul DLS di Conti alla data del 25/10, i quali sono stati analizzati come autentici.

Sample di passaporto riportato nel DLS di Conti

Sample di carta di identità riportato nel DLS di Conti


Sample di numeri di cellulari e utenze riportate nel DLS di Conti

26 ottobre 2021

Nella giornata del 26, la San Carlo emana una nota che spiega l’accaduto riportando che l’azienda:

“ha riscontrato un’intrusione nei nostri sistemi informatici e sono state immediatamente attivate tutte le procedure di sicurezza per isolare e contenere la minaccia. Al momento alcuni servizi informatici sono solo parzialmente funzionanti, ma l’operatività’ del Gruppo è comunque garantita, dalla produzione, alla distribuzione, alla vendita dei nostri prodotti”

Inoltre la San Carlo ha aggiunto:

“L’azienda ha già provveduto ad informare le autorita’ compenti (Garante Privacy e Polizia Postale) e sta procedendo ad analizzare i dati che potrebbero essere stati danneggiati o trafugati, procedendo altresi’ a informare le persone che possono essere state interessate”.

Sembra quindi che l’incidente non abbia arrecato particolari danni all’azienda, la quale informa che non intende pagare nessuna forma di riscatto.

Sempre il 26/10, i quotidiani nazionali si accorgono dell’attacco informatico e iniziano a circolare su internet una serie di articoli che parlano della violazione del ransomware Conti delle infrastrutture della San Carlo.

Nella tarda serata del 26, sul DLS di Conti viene aggiornato il post relativo a San Carlo, eliminando qualsiasi riferimento ai dati (i 60MB che in precedenza erano disponibili e scaricabili).

Questo potrebbe significare un avvio delle trattative tra gli affiliati di Conti e la San Carlo.

Ma è anche vero che Conti ricorda che:

“Se sei un cliente che ha rifiutato l’accordo e non ha trovato i suoi dati sul sito o non ha trovato file di valore, questo non significa che ci siamo dimenticati di te, significa solo che i dati sono stati venduti e quindi non sono stati pubblicati in accesso libero!”

Conclusioni

Emanuele De Lucia, membro della community di Red Hot Cyber ed esperto di sicurezza informatica ed indagini forensi, ha commentato l’episodio del ransomware San Carlo riportando quanto segue:

“Gli attacchi a scopo estorsivo stanno pericolosamente monopolizzando le cronache italiane di settore. Questo potrebbe dipendere da alcuni fattori confluenti come una aumentata attenzione delle gang verso organizzazioni italiane ed una postura difensiva deficitaria di molte realtà'”

Inoltre, rispetto alle notizie di oggi relative all’annuncio di “associazione” da parte di Groove ransomware verso altre cyber gang per andare contro gli Stati Uniti D’America ha detto:

“recentemente sia il collettivo criminale Groove che la stessa gang Conti hanno espresso la volontà di vendicarsi delle operazioni USA che hanno causato il takedown di Revil. Nello specifico Groove, all’interno di un forum chiuso, ha esplicitamente indicato gli ospedali italiani come ottimi bersagli da usare nelle azioni di vendetta. Queste minacce andrebbero prese seriamente poiché sono un potenziale preludio di incidenti molto gravi”

Come sempre abbiamo riportato su questo blog, risulta essenziale avviare un rapido cambiamento nei confronti della sicurezza informatica e speriamo che i fondi del PNRR (Piano Nazionale di Ripresa e Resilienza) ci consentano di rendere finalmente l’Italia resiliente agli attacchi informatici. Non avremo altre alternative.

Red Hot Cyber sta monitorando la vicenda da vicino e abbiamo appena inviato una richiesta di chiarimento al gruppo San Carlo. Qualora ci saranno delle novità su questo incidente di sicurezza, verranno riportate su questo post.

Se ci sono persone a conoscenza di ulteriori informazioni sulla vicenda, scrivete alla redazione di RHC, all’indirizzo email [email protected].

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli