Gruppo ransomware Unsafe rivendica una violazione dei dati di Deutsche Bank

Un gruppo ransomware che si fa chiamare Unsafe ha rivendicato la violazione di Deutsche Bank, una delle più grandi istituzioni finanziarie al mondo, e ha diffuso quelli che definisce prove estratte dal database a sostegno della dichiarazione. La presunta violazione dei dati ransomware di Deutsche Bank ha esposto credenziali dei dipendenti e dati interni, sollevando immediati timori su come tali informazioni possano essere utilizzate in attacchi successivi contro la banca e i suoi clienti.

Deutsche Bank non ha confermato pubblicamente la violazione al momento in cui scriviamo e la piena portata dell’incidente resta oggetto di indagine. Ma la rivendicazione stessa, supportata da quelli che appaiono campioni di dati trafugati, è sufficiente a richiamare l’attenzione sia dei professionisti della sicurezza che degli utenti comuni.

Cosa sostiene di aver sottratto il gruppo ransomware Unsafe

Secondo le notizie che citano i dati diffusi, la violazione coinvolge credenziali dei dipendenti, con almeno 353 set di informazioni di accesso presumibilmente compromessi. I dati includerebbero registri interni capaci di fornire agli aggressori una mappa dettagliata della struttura del personale di Deutsche Bank.

Per i gruppi ransomware questo tipo di dati ha due scopi. Il primo è l’uso diretto, per tentare la presa di controllo degli account o ottenere un accesso più profondo ai sistemi aziendali. Il secondo è la vendita o la pubblicazione come leva, per spingere l’organizzazione colpita a pagare un riscatto ed evitare ulteriori esposizioni. Il gruppo Unsafe sembra utilizzare la seconda strategia, rilasciando pubblicamente presunti campioni del database per dimostrare la propria portata e creare urgenza.

Vale la pena notare che i gruppi ransomware esagerano abitualmente la portata delle violazioni per massimizzare la pressione. Detto questo, anche fughe parziali di dati dei dipendenti comportano un rischio significativo a valle, il che ci porta alla preoccupazione più concreta.

Come i dati trafugati dei dipendenti alimentano attacchi di phishing e ingegneria sociale

Quando un database con nomi, indirizzi email, ruoli aziendali e credenziali dei dipendenti finisce sulla rete aperta, non minaccia soltanto l’organizzazione violata. Crea un kit di strumenti per gli aggressori che prendono di mira chiunque sia collegato a quell’organizzazione, inclusi clienti, partner e fornitori.

Le campagne di phishing costruite su dati reali dei dipendenti sono molto più convincenti delle truffe generiche. Un aggressore che conosce il nome, il dipartimento e il formato interno delle email di un determinato dipendente di Deutsche Bank può creare un messaggio che appare del tutto legittimo al destinatario. Questo tipo di spear-phishing, mirato anziché distribuito in massa, è responsabile di una larga parte degli attacchi informatici aziendali riusciti.

L’ingegneria sociale porta tutto questo ancora più in là. Gli aggressori possono fingersi dipendenti quando contattano helpdesk IT, fornitori o persino clienti, usando dettagli interni reali per superare le verifiche di identità. È proprio il motivo per cui la violazione dell’agenzia francese per l’identità che ha esposto 12 milioni di account ha destato preoccupazione ben oltre l’agenzia stessa. Le fughe di dati istituzionali si propagano verso l’esterno e le persone alla fine di quella catena raramente se lo aspettano.

Cosa rivela la violazione di Deutsche Bank sulle carenze nell’igiene dei dati aziendali

Le istituzioni finanziarie sono tra gli enti più regolamentati in materia di sicurezza dei dati. Investono ingenti risorse nelle infrastrutture di cybersecurity, il che rende una violazione rivendicata di questa portata un fatto rilevante e non una routine.

Ciò che tende a fallire non è il perimetro ma l’interno. Credenziali dei dipendenti conservate in database accessibili, controlli di accesso insufficienti per segmentare i sistemi interni e rilevamento tardivo contribuiscono tutti a violazioni che i gruppi ransomware più sofisticati possono sfruttare. Una volta all’interno di una rete, gli aggressori possono spesso muoversi lateralmente per settimane o mesi prima di far scattare un allarme visibile.

L’esposizione di credenziali qui segnalata indica anche un problema più ampio: le organizzazioni spesso conservano più dati dei dipendenti in formati centralizzati e accessibili di quanto sia necessario. Ridurre al minimo ciò che viene archiviato, dove viene archiviato e chi può accedervi limita i danni che ogni singola violazione può causare. È un principio che vale tanto per una banca multinazionale quanto per una piccola impresa o persino per un individuo che gestisce i propri account.

Incidenti di dati su larga scala, come la violazione di Novo Nordisk con 1,3 TB di dati clinici rubati, confermano che nessun settore è immune e che il volume di dati sensibili accumulati dalle organizzazioni crea un rischio che si aggrava nel tempo.

Misure concrete che utenti e aziende possono adottare per limitare l’esposizione

Che lavoriate in una grande istituzione o abbiate semplicemente un conto presso di essa, ci sono azioni concrete che vale la pena intraprendere in risposta a notizie come questa.

Verificate la vostra esposizione alle violazioni. Servizi che monitorano se il vostro indirizzo email è comparso in raccolte di dati note possono avvisarvi quando le credenziali associate ai vostri account circolano online. Se avete qualsiasi rapporto con Deutsche Bank, considerate questa notizia come un invito a rivedere la sicurezza del vostro account.

Cambiate le password e attivate l’autenticazione a più fattori. Se la stessa password che usate per il lavoro o per l’home banking compare altrove, cambiatela ora. L’autenticazione a più fattori riduce significativamente il valore delle credenziali rubate per gli aggressori.

Diffidate dei contatti inattesi. Nelle settimane successive a una grave violazione, i tentativi di phishing collegati a quell’istituzione aumentano tipicamente. Trattate con particolare sospetto qualsiasi email, chiamata o messaggio non richiesto che faccia riferimento al vostro account, a una richiesta urgente o a informazioni interne, anche se i dettagli sembrano precisi.

Per le aziende, verificate cosa conservate. Se la vostra organizzazione detiene dati di dipendenti o clienti in database centralizzati, questo è un buon momento per chiedersi se sia necessario che ci siano tutti, chi vi ha accesso e se i log di accesso vengono monitorati.

La presunta violazione dei dati ransomware di Deutsche Bank ci ricorda che la sicurezza dei dati istituzionali e la sicurezza digitale individuale non sono ambiti separati. Quando le grandi organizzazioni vengono compromesse, l’esposizione viaggia ben oltre le loro mura. Rivedere la propria esposizione alle violazioni e rafforzare le proprie pratiche di sicurezza personale non è una reazione eccessiva; è una risposta proporzionata al modo in cui questi incidenti si sviluppano concretamente.