Attacco ransomware al Bologna FC, rubati migliaia di documenti ...

L’ultima vittima dei cyber criminali specializzati in attacchi ransomware (neologismo derivato dalla crasi tra “ransom” – riscatto - e “malware”) è Bologna FC. I sistemi informatici del club emiliano sono stati violati dal gruppo RansomHub, che ha pubblicato sul suo sito nel Dark Web una richiesta di riscatto in cui minaccia di pubblicare migliaia di documenti riservati riguardanti le attività della società sportiva rossoblù.

Stando al comunicato pubblicato sul “sito ufficiale” di RansomHub, i cyber criminali non avrebbero bloccato i sistemi della società, ma avrebbero esfiltrato la bellezza di 200 GB di dati tra email e documenti che conengono sia informazioni personali dei tifosi, sia quelle dei giocatori e allenatori. Non solo: il materiale trafugato comprenderebbe la documentazione relativa alle sponsorizzazioni e a transazioni per l’acquisto e cessione di giocatori, dati medici e altre informazioni sensibili.

RansomHub è un gruppo di cyber criminali, probabilmente con sede in Russia, che opera secondo lo schema del ransom-as a- service. Si tratta di un’organizzazione che ricalca il concetto di franchising e prevede in buona sostanza un sistema di affiliazione. I vertici del gruppo mettono a disposizione gli strumenti di attacco (il ransomware) e la piattaforma per gestire lo schema estorsivo, che sfrutta un sito sul Dark Web in cui il gruppo pubblica regolarmente l’elenco delle sue vittime accompagnato da un “conto alla rovescia” per il pagamento del riscatto che impedirebbe (il condizionale è d’obbligo) la pubblicazione dei dati trafugati alla scadenza del countdown.

Gli affiliati utilizzano gli strumenti messi a loro disposizione per portare l’attacco vero e proprio, ottenendo in cambio una percentuale del riscatto eventualmente versato dalle vittime.

Nel momento in cui scriviamo, sul sito di RansomHub sono presenti 22 estorsioni in corso, mentre l’homepage contiene decine di riferimenti ad aziende i cui dati sono stati pubblicati. Insomma: piuttosto che sulla classica formula del ransomware basato sul blocco dei dati attraverso strumenti di crittografia (che però non disdegnano) i pirati di RansomHub puntano principalmente sulla minaccia di rendere pubblici i dati delle vittime.

Nel “comunicato” pubblicato sul loro sito, i membri del gruppo RansomHub non fanno cenno alle modalità con cui hanno ottenuto accesso ai sistemi informatici del club sportivo. Si limitano ad accusare Bologna FC di non disporre di “protezioni adeguate per i dati e la rete, motivo per cui tutti i loro dati sono stati rubati”. Una dichiarazione che è accompagnata dall’accusa di “aver violato il GDPR”.

Il riferimento al Regolamento Generale sulla Protezione dei Dati è una leva che ormai i gruppi specializzati in ransomware usano regolarmente. La normativa europea, infatti, prevede una serie di sanzioni per chi non protegge adeguatamente i dati personali che gestisce. I cyber criminali, sanno benissimo che i timori legati alla possibilità di subire multe piuttosto salate (fino a 10 milioni di euro o al 2% del fatturato) nel caso in cui non abbiano protetto adeguatamente i dati in loro possesso possono portare le vittime a pagare il riscatto piuttosto che rischiare un salasso.

Sul sito, i pirati informatici riassumono i dati di cui sarebbero venuti in possesso:

·       Tutti i contratti di sponsorizzazione e i documenti che rivelano importi e condizioni degli sponsor.

·       Tutti i dati finanziari del club dall'inizio della sua esistenza.

·       Tutti i dati personali e riservati dei giocatori.

·       Tutti i documenti che rivelano strategie di mercato, inclusi trasferimenti e giovani talenti di altre squadre.

·       Tutti i dati personali e riservati dei tifosi e dei dipendenti.

·       Tutti i dati sui giovani atleti.

·       Tutti i dati medici, senza eccezioni.

·       Tutti i dati riservati relativi a strutture e stadi.

·       Tutte le strategie commerciali e i piani aziendali.

A corredo, allegano un link che conduce al database dei dati sottratti (è possibile solo sfogliare le cartelle, mentre i file non sono accessibili) e alcuni screenshot dei documenti sottratti. Tra questi ci sono i dati sugli abbonamenti e gli introiti legati a partite del campionato scorso; contratti di calciatori; dati sulle sponsorizzazioni e addirittura una scansione del passaporto dell’allenatore del Bologna Vincenzo Italiano e un documento con il suo IBAN.

Insomma, dubbi sulla veridicità dell’attacco ce ne sono davvero pochi. La scadenza dell’ultimatum è fissata per il 29 settembre alle 13:00 in punto. Solo allora, probabilmente, vedremo come si concluderà la vicenda.

Aggiornamento: Controllando il sito di RansomHub, alle 17:49 non è più presente la rivendicazione dell'attacco a Bologna FC. Potrebbe trattarsi di un segnale del fatto che la società abbia avviato un a trattativa con i pirati informatici.