Il ransomware Gentlemen colpisce Soja de Portugal: trapelati 491 GB

Il ransomware Gentlemen colpisce Soja de Portugal: trapelati 491 GB

Il gruppo ransomware Gentlemen ha rivendicato la responsabilità di un attacco a Soja de Portugal, una delle principali aziende agricole portoghesi, che ha portato all'esposizione di 491 GB di dati aziendali sensibili. Secondo quanto riportato da DeXpose, i dati compromessi includono registri del sistema SAP, informazioni sui dipendenti e documenti finanziari. L'articolo originale riporta la data del 4 giugno 2026, che sembra essere un errore di segnalazione o una pubblicazione datata nel futuro; i lettori devono tenere presente che l'accuratezza fattuale di quella data specifica non può essere confermata in modo indipendente, sebbene diverse fonti di threat intelligence abbiano corroborato la violazione stessa come un evento recente.

L'incidente si aggiunge a una lista crescente di attacchi attribuiti a The Gentlemen, un'operazione di ransomware-as-a-service che, secondo i ricercatori, è emersa pubblicamente nella seconda metà del 2025 e da allora ha rivendicato centinaia di vittime in diversi settori e paesi.

Chi sono i Gentlemen e perché sono efficaci?

Il gruppo Gentlemen opera come una piattaforma di ransomware-as-a-service (RaaS), il che significa che gli sviluppatori principali concedono in licenza il loro malware e l'infrastruttura a attaccanti affiliati che conducono singole campagne. Questo modello abbassa la barriera d'ingresso per i criminali informatici e rende l'attribuzione più complessa per gli investigatori.

Ciò che distingue questo gruppo dalle operazioni ransomware più vecchie è l'uso costante della doppia estorsione: cifrano i dati della vittima e li esfiltrano prima di attivare la cifratura. Ciò significa che anche le organizzazioni con solide procedure di backup si trovano ad affrontare una seconda minaccia: la pubblicazione o la vendita dei dati rubati se il riscatto non viene pagato. Nel caso di Soja de Portugal, il gruppo sembra aver dato seguito a questa minaccia, con 491 GB che sarebbero stati pubblicati o resi accessibili attraverso la loro infrastruttura di leak.

I ricercatori hanno osservato che il toolkit dei Gentlemen prende di mira Windows, Linux, hypervisor ESXi e dispositivi NAS, rendendoli in grado di compromettere un'ampia gamma di ambienti aziendali, dalle tradizionali reti d'ufficio ai data center virtualizzati.

Quali dati sono stati esposti e perché è importante

Le categorie di dati coinvolte nella violazione di Soja de Portugal meritano un'analisi attenta. I dati SAP sono particolarmente significativi: SAP è una piattaforma di enterprise resource planning (ERP) utilizzata da grandi organizzazioni per gestire tutto, dalle catene di approvvigionamento e gli acquisti alle buste paga e alla contabilità. Una violazione dei dati SAP può esporre contratti con i fornitori, strutture di prezzo, previsioni finanziarie interne e dettagli sulla retribuzione dei dipendenti, tutto in un unico luogo.

I registri dei dipendenti, un'altra categoria confermata in questa violazione, includono in genere nomi, numeri di identificazione, recapiti e talvolta informazioni bancarie per le buste paga. Quando questi dati vengono divulgati, creano rischi a valle per i singoli lavoratori, non solo per l'organizzazione stessa.

Questo schema di attacco ai sistemi aziendali non è unico in questo attacco. Incidenti simili, come l'attacco ransomware Play ad Ampex Data Systems, hanno mostrato come gli attaccanti diano priorità a archivi di dati di alto valore, tra cui informazioni di identificazione personale dei dipendenti e registri finanziari, proprio perché offrono sia leva per il riscatto che valore di rivendita sui mercati criminali.

Le aziende agricole e manifatturiere sono bersagli sempre più appetibili perché spesso gestiscono un mix di tecnologie operative legacy e software aziendali moderni, creando superfici d'attacco più ampie e meno uniformi rispetto alle organizzazioni che hanno costruito la propria infrastruttura più di recente.

Perché la sicurezza perimetrale da sola non basta

Uno degli insegnamenti più importanti che si traggono da incidenti come questo è che le difese perimetrali tradizionali — firewall, software antivirus e monitoraggio di rete — sono necessarie ma insufficienti. È noto che il gruppo Gentlemen e operazioni simili ottengano l'accesso iniziale attraverso campagne di phishing, porte del protocollo Remote Desktop (RDP) esposte e credenziali compromesse. Una volta all'interno di una rete, si spostano lateralmente, spesso per giorni o settimane, prima di distribuire il ransomware.

Ecco perché i professionisti della sicurezza sostengono sempre più un approccio a più livelli alla sicurezza organizzativa. Alcuni dei livelli più efficaci includono:

• Accesso alla rete zero-trust: Invece di fidarsi di qualsiasi dispositivo o utente all'interno del perimetro di rete, l'architettura zero-trust richiede la verifica continua dell'identità e dello stato di salute del dispositivo prima di concedere l'accesso a qualsiasi risorsa.
• Accesso remoto crittografato: Le VPN e strumenti simili proteggono i dati in transito e riducono il rischio di intercettazione delle credenziali su connessioni non protette, in particolare per i lavoratori remoti e ibridi che accedono a sistemi sensibili.
• Segmentazione della rete: Mantenere sistemi come SAP isolati dalle postazioni di lavoro generiche dei dipendenti limita la capacità di un attaccante di muoversi lateralmente dopo aver ottenuto un punto d'appoggio iniziale.
• Rilevamento e risposta sugli endpoint (EDR): A differenza dell'antivirus tradizionale, gli strumenti EDR monitorano le anomalie comportamentali che potrebbero indicare che un attaccante sta operando all'interno della rete, anche prima che il malware venga distribuito.

L'attacco ransomware a ChipSoft nei Paesi Bassi ha illustrato un modello di fallimento simile: gli attaccanti sono riusciti ad accedere ed esfiltrare grandi volumi di dati perché i sistemi interni non erano sufficientemente segmentati e i controlli di accesso non erano abbastanza granulari da contenere la violazione una volta ottenuto l'accesso iniziale.

Cosa significa per te

Che la vostra organizzazione sia una multinazionale o un'azienda regionale come Soja de Portugal, il calcolo del rischio è cambiato. I gruppi ransomware con modelli RaaS possono lanciare attacchi su larga scala, prendendo di mira qualsiasi settore in cui esistono dati di valore. Le aziende agricole, le società di logistica e i produttori potrebbero non essersi storicamente considerati bersagli di alto valore, ma i dati che conservano nei sistemi ERP e HR raccontano una storia diversa.

Ecco alcuni passi concreti che le organizzazioni possono adottare per ridurre la propria esposizione:

• Verificare i punti di accesso remoto: Identificare tutti i servizi esposti a Internet, in particolare i gateway RDP e VPN, e assicurarsi che siano protetti con autenticazione a più fattori e credenziali regolarmente aggiornate.
• Implementare l'accesso con privilegi minimi: I dipendenti e i sistemi dovrebbero avere accesso solo ai dati e alle applicazioni di cui hanno realmente bisogno. Diritti di accesso estesi accelerano il movimento laterale dopo una violazione.
• Testare i backup: I backup offline o immutabili sono una difesa fondamentale contro il ransomware basato sulla cifratura, ma solo se vengono testati regolarmente e se ne conferma la possibilità di ripristino.
• Classificazione dei dati e crittografia a riposo: Sapere quali dati sono più sensibili e garantire che siano crittografati anche quando archiviati internamente limita il valore dei file esfiltrati per gli attaccanti.

La violazione di Soja de Portugal è un caso di studio utile non perché sia eccezionale, ma perché è sempre più tipica. Mentre gli attacchi ransomware continuano a esporre grandi volumi di dati aziendali in tutti i settori, le organizzazioni che se la cavano meglio sono quelle che trattano la sicurezza come un processo continuo piuttosto che come un investimento una tantum. Rivedere ora i controlli di accesso, l'architettura di rete e il piano di risposta agli incidenti è significativamente meno costoso che gestire una fuoriuscita di 491 GB di dati a posteriori.