ShadowByt3$ colpisce Cropwise in un attacco ransomware ai dati agricoli

ShadowByt3$ colpisce Cropwise in un attacco ransomware ai dati agricoli

Il gruppo ransomware noto come ShadowByt3$ ha rivendicato la responsabilità di un attacco informatico contro Cropwise, la piattaforma di agricoltura di precisione gestita da Syngenta Group, uno dei più grandi conglomerati agroalimentari al mondo. L'attacco avrebbe comportato l'esfiltrazione di dati insieme a una richiesta di riscatto, sollevando serie preoccupazioni sulla sicurezza dei sistemi di tecnologia agricola che detengono dati operativi e dei clienti sensibili.

Questo incidente è una delle diverse rivendicazioni ransomware segnalate a breve distanza l'una dall'altra, con gruppi distinti che hanno preso di mira aziende che vanno da un importante distributore statunitense di funghi a una società di gestione patrimoniale. Il quadro indica un ecosistema ransomware sempre più aggressivo in cui nessun settore, compresa la tecnologia agricola, è escluso.

Cosa sappiamo dell'attacco a Cropwise

Cropwise è una piattaforma digitale di agronomia che raccoglie ed elabora dati dettagliati a livello aziendale, tra cui mappe dei campi, piani colturali, registri delle rese e raccomandazioni agronomiche. Il tipo di dati detenuti da tali piattaforme non è solo sensibile dal punto di vista operativo; può includere informazioni personali legate agli agricoltori e alle aziende agricole che si affidano al servizio.

ShadowByt3$ ha in precedenza rivendicato attacchi ad altre istituzioni, incluso un incidente segnalato presso l'Università della Georgia, suggerendo che il gruppo stia attivamente ampliando il proprio raggio d'azione. L'attacco a Cropwise segue uno schema ormai noto: infiltrarsi in una rete bersaglio, esfiltrare dati preziosi, crittografare i sistemi ed emettere una richiesta di riscatto sostenuta dalla minaccia di pubblicare i dati.

Al momento, l'intera portata dei dati compromessi nell'attacco a Cropwise non è stata confermata pubblicamente. Syngenta Group, con sede in Svizzera, non ha rilasciato una dichiarazione pubblica dettagliata al momento della stesura di questo articolo.

Un'ondata più ampia di rivendicazioni ransomware

L'attacco a Cropwise non è avvenuto in modo isolato. Nello stesso periodo, il gruppo ransomware Akira ha rivendicato un attacco a Moorman Harting, una società di gestione patrimoniale con sede negli Stati Uniti, minacciando di esporre dati finanziari e personali sensibili dei clienti. Separatamente, Monterey Mushrooms, il più grande distributore di funghi freschi negli Stati Uniti, è stata segnalata come vittima di un attacco ransomware. Un altro gruppo, senza nome, ha affermato di aver ottenuto dati del passaporto di oltre 300 clienti in una violazione non correlata.

Questo insieme di attacchi sottolinea un punto che i professionisti della sicurezza ripetono da anni: le operazioni ransomware sono diventate industrializzate. I gruppi operano con strutture di divisione del lavoro, a volte affittando infrastrutture di ransomware-as-a-service mentre altri gestiscono la negoziazione e la pubblicazione dei dati rubati. Il risultato è un ambiente di minacce ad alto volume e multi-settoriale.

Come si è visto in incidenti come la violazione della filiale italiana di IBM collegata a operazioni informatiche cinesi, gli attori di minacce sofisticati spesso combinano il furto di dati con la compromissione del sistema, rendendo il ripristino ben più complesso della semplice decrittazione dei file.

Cosa significa per te

Se sei un'azienda che opera nel settore della tecnologia agricola, o in qualsiasi settore che aggrega dati operativi sensibili, l'incidente Cropwise è un promemoria diretto di quanto queste piattaforme siano diventate bersagli appetibili per i ransomware. Il valore dei dati dell'agricoltura di precisione va oltre la piattaforma stessa; rappresenta intelligence competitiva e informazioni personali per migliaia di operatori agricoli.

Per gli utenti individuali di piattaforme come Cropwise, la preoccupazione immediata è se i dati personali o aziendali siano stati tra quelli esfiltrati. Fino a quando Syngenta o Cropwise non forniranno una notifica dettagliata della violazione, gli utenti dovrebbero presumere che i propri dati possano essere a rischio e monitorare eventuali attività anomale dell'account o tentativi di phishing che facciano riferimento alle loro attività agricole.

Le organizzazioni che elaborano grandi volumi di dati dei clienti dovrebbero anche essere consapevoli che i servizi di monitoraggio del dark web sono sempre più utilizzati per tracciare se set di dati rubati compaiono in vendita o vengono pubblicati da gruppi ransomware. Non si tratta di una preoccupazione passiva; i dati trapelati da una violazione spesso alimentano attacchi mirati altrove.

I rischi non sono limitati alle aziende private. Come evidenziato nella copertura delle minacce APT legate a stati e i loro metodi, anche le organizzazioni ben dotate di risorse devono affrontare tecniche di intrusione persistenti e in evoluzione. I gruppi ransomware hanno adottato alcune delle stesse tattiche di movimento laterale e staging dei dati storicamente associate allo spionaggio sponsorizzato da stati.

Passi concreti dopo questo attacco

Ecco cosa aziende e individui dovrebbero considerare sulla scia di attacchi come questo:

• La segmentazione della rete è fondamentale. Il ransomware si diffonde spostandosi lateralmente attraverso i sistemi connessi. Mantenere gli ambienti di dati sensibili isolati dalle reti aziendali generali limita il raggio d'azione di qualsiasi singola intrusione.
• Monitorare l'esposizione dei dati. Se tu o la tua azienda avete utilizzato Cropwise, fate attenzione alle notifiche di Syngenta e valutate l'uso di servizi di monitoraggio delle violazioni per verificare se i vostri dati compaiono online.
• Valutare il rischio delle piattaforme di terze parti. Le piattaforme SaaS nell'agricoltura, nella finanza e nella sanità detengono dati significativi per conto dei propri utenti. Le aziende dovrebbero chiedere ai fornitori quali siano i loro piani di risposta agli incidenti e le pratiche di gestione dei dati prima di adottarli.
• Mantenere separate le credenziali. Se riutilizzi le password su più piattaforme, una violazione su un servizio diventa un rischio per tutti gli altri. Utilizza un gestore di password e attiva l'autenticazione a più fattori ove possibile.
• Avere un piano di risposta. Gli incidenti ransomware si muovono rapidamente. Le organizzazioni che hanno provato le proprie procedure di risposta agli incidenti recuperano più velocemente e subiscono meno perdite di dati.

L'attacco di ShadowByt3$ a Cropwise è un chiaro monito che i gruppi ransomware non si limitano a bersagli ovvi di alto valore come ospedali o istituzioni finanziarie. Le piattaforme di agricoltura di precisione, e i dati sensibili che detengono per conto di agricoltori e aziende agroalimentari, sono ormai saldamente nel mirino. Rimanere informati e adottare misure proattive per proteggere i dati non è più un optional per qualsiasi organizzazione che gestisca informazioni sui clienti.