La Società Italiana degli Autori ed Editori (SIAE) è stata pesantemente colpita da un attacco hacker che ha penetrato i sistemi IT dell’ente pubblico economico preposto alla protezione e all’esercizio dell’intermediazione del diritto d’autore in Italia. Da quanto si apprende, l’incursione è stata probabilmente originata da una email di phishing cui il 18 ottobre deve aver “abboccato” qualche utente (probabilmente un associato) SIAE che con un click di troppo ha permesso ad un codice malevolo di accedere alle banche dati della Società.
Sono stati prelevati 28 mila file per un totale di 60 giga di documenti e il gruppo hacker Everest Ransom Team – che ha prontamente rivendicato l’attacco – avrebbe chiesto un riscatto in bitcoin pari a 3 milioni di euro da pagarsi entro il 25 ottobre. In caso di mancato pagamento, gli hacker minacciano di pubblicare o rivendere nel dark web patrimonio di dati riferiti ad una moltitudine di artisti e non solo; stando alla rivendicazione il bottino consiste “in numero enorme di passaporti, patenti di guida, documenti di pagamento, conti correnti bancari, carte di credito e altri dati” a cui bisogna presumibilmente aggiungere numeri di telefono, codici fiscali e fors’anche brani musicali inediti e contratti.
Trattasi di un attacco di tipo ransomware lievemente diverso rispetto a quello maggiormente diffuso che usualmente consta della “sola” presa in ostaggio delle banche dati fino tramite criptazione dei file fino al pagamento di un riscatto: qui gli archivi sarebbero stati direttamente esportati e la minaccia è quella di esporli o venderli nel lato oscuro del “metauniverso”.
Il direttore generale della SIAE Gaetano Blandini ha affermato che l’ente non è intenzionato a pagare alcun riscatto ed ha già coinvolto la Polizia Postale e il Garante Privacy cui dovrà nelle prossime ore esser inviata la notifica di data breach ai sensi dell’art. 33 del GDPR.
L’ennesima prova che i ransomware sono un piaga del nostro tempo, non solo per la privacy delle persone ma anche per la business continuity e le finanze delle imprese: si stima che entro la fine del 2021 ogni 11 secondi sarà presa di mira un’organizzazione (aziende, professionisti, ospedali, enti governativi, etc.) per un danno complessivo di 20 miliardi di dollari al netto delle lesioni reputazionali.
