Aggiornamento del 28/12/2020 ore: 17:30
Ora è ufficiale: il sito snai.it è stato attaccato da un gruppo hacker di tipo Ransomware.
Il comunicato ufficiale è stato inviato a SuspectFile dall’Ufficio Stampa di Snaitech alle 17:25 di oggi 28 dicembre 2020.
Il comunicato parla di “un attacco informatico da parte di ignoti che ha provocato, a partire dal 27 dicembre scorso, il mal funzionamento del sito snai.it e delle app di gioco”.
Come avevamo previsto sia per le modalità preventive della messa offline del sito da parte dei tecnici IT, sia per il prolungarsi del mancato ripristino in tempi celeri del sito di scommesse, faceva pensare ad un attacco mirato da parte di hacker.
Secondo il comunicato dell’Ufficio Stampa non sarebbero stati interessati dall’intrusione i conti di gioco e nemmeno i dati sensibili degli utenti, “Si rassicurano, quindi, gli utenti in merito ai propri conti – continua il comunicato – che non subiranno nessuna modifica o perdita”.
Si spera che anche questo caso, come già ho avuto modo di scrivere in questo articolo, non ripercorra la falsa riga di quanto successo nel recente passato anche ad altre aziende colpite da attacchi di tipo Ransomware, dove si sono viste pubblicare i propri dati esfiltrati fra le pagine di siti creati ad hoc da gruppi hacker Ransomware come NetWalker, DoppelPaymer, Sodinokibi o altri.
Per gli hacker i passaggi sono sempre i soliti: intrusione > furto dei dati > crttazione dei dati appena rubati presenti sui server > richiesta di riscatto.
Dopo la prima richiesta di riscatto passano alcuni giorni che servono per un’eventuale contrattazione per cercare di far scendere la cifra chiesta. Se chi ha subito il riscatto non ha nessuna intenzione di pagare, viene pubblicato il primo lotto di dati: generalmente una piccolissima parte. Alla scadenza dell’ultimatum se l’azienda colpita non paga il riscatto, vengono pubblicati il resto dei dati sottratti durante l’attacco informatico.
Mi auguro che quanto rilasciato dall’Ufficio Stampa corrisponda a verità, ma difficilmente un gruppo hacker quando effettua un attacco informatico esce dai sistemi IT senza avere nulla “nelle proprie mani”. Io credo invece che, nel caso Snaitech decida di non pagare il riscatto, vedremo molto presto i primi dati fra le reti Tor.
=================================================
E’ ancora offline il sito di scommesse sportive della SNAI (GRUPPO PLAYTECH), uno dei principali concessionari per la gestione dei giochi autorizzati in Italia con 1.584 punti vendita per la raccolta delle scommesse.
Il down ai sistemi IT sarebbero iniziati alle 02:46 di domenica 27 dicembre, come riporta il sito DOWNDETECTOR.IT, quando i primi utenti hanno iniziato a segnalare i primi disservizi.
Migliaia le segnalazioni inviate sul profilo social ufficiale di Twitter, dove i clienti lamentano sia l’impossibilità di effettuare scommesse, sia quella di verificare lo stato del proprio conto. Un disservizio che interessa non solo il sito web snai.it, stando alle centinaia di testimonianze degli utenti, ma anche le applicazioni installate sui sistemi iOS e Android.
Un primo comunicato da parte del “team SNAI”, apparso nella giornata di ieri sulla homepage, avvisava gli scommettitori di una “Manutenzione straordinaria”
“MANUTENZIONE STRAORDINARIA – La manutenzione riguarda tutti i prodotti snai.it e APP – Contiamo di tornare operativi a breve — Il team SNAI“.
Oggi un nuovo laconico, stringato comunicato è apparso sulla homepage di snai.it senza alcuna spiegazione sui tempi certi di ripristino e soprattutto senza alcuna spiegazione riguardo le cause che hanno portato offline il sito di scommesse.
Rileggendo i vari commenti apparsi sull’account ufficiale di Twitter, sembra che il principale problema per gli scommettitori sia quello di conoscere i tempi di rispristino della piattaforma per poter tornare a scommettere su questo o quell’altro evento sportivo. Solo una piccolissima parte di tweet si preoccupa dei propri dati sensibili (nome e cognome, data e luogo di nascita, indirizzo, codice fiscale, dati finanziari…) presenti sui server del portale di scommesse.
La causa della messa offline di un sito web, dove esistono interessi economici di varia natura, quasi sempre è riconducibile ad un attacco hacker che in questi casi è sempre di tipo Ransomware. Un gruppo di hacker, dopo aver esfiltrato enormi quantità di dati, critta i database presenti sui server e chiede un riscatto in cambio di una chiave di decrittazione.
Era successo alla Luxottica quando il gruppo Ransomware Nefilim era riuscito ad introdursi, forse già ad inizio agosto, all’interno dei sistemi della multinazionale rubando diversi GB di dati sensibili successivamente pubblicati dagli hacker all’interno delle reti Tor.
Fra i dati rubati da Nefilim Ransomware erano presenti anche “informazioni sanitarie protette” (PHI), informazioni di identificazione personale (PII), numeri di carta di credito e di previdenza sociale di 829.454 pazienti in cura presso varie strutture sanitarie presenti sul suolo americano.
In quel caso la Luxottica aveva inizialmente minimizzato l’incidente dichiarando, fra l’altro, con una certa spavalderia
“Circa l’attacco informatico del fine settimana ad opera di un “malware” individuato e isolato senza danni all’infrastruttura. l’Azienda Luxottica conferma che non risulta al momento alcun accesso o sottrazione di informazioni di utenti e consumatori. In meno di 24 ore in Luxottica è stato realizzato il sistema per annientare il “malware” ed è stata bonificata la rete dei server interessati…
Fra le più importanti società italiane colpite ultimamente da attacchi hacker ti tipo Ransomware troviamo il gruppo Enel, colpito alla fine dello scorso ottobre dal gruppo Ransomware NetWalker e la Herno S.p.A., una delle più importanti società del made in Italy nel settore dell’abbigliamento.
Mentre sto scrivendo i server SNAI sono ancora offline. Ho cercato d’avere ulteriori notizie in merito contattando telefonicamente le sedi di Milano e di Lucca, ma le operatrici che mi hanno risposto hanno dichiarato che al momento il sito di scommesse è offline a causa di lavori di manutenzione.
Ho inoltre scritto all’Ufficio Stampa SnaiTech, a due loro Consulenti della Ad Hoc Communication Advisors e al loro Ufficio per la Protezione dei Dati (D.O.P).
Nel caso dovessi ricevere risposte, sarà mia cura informarvi in maniera tempestiva e trasparente.