L’istituto finanziario svizzero Habib Bank AG di Zurigo sta indagando sulle segnalazioni di un grave attacco informatico dopo che un gruppo di ransomware ha rivendicato la responsabilità del furto di circa 2,5 terabyte di dati interni. Gli aggressori, noti come Qilin, hanno affermato di aver ottenuto quasi due milioni di file dalla banca, tra cui informazioni sensibili dei clienti e documenti interni.
Il gruppo ha pubblicato l’affermazione sul suo sito di leak il 5 novembre e ha pubblicato screenshot che sembrano mostrare scansioni di passaporti, saldi di conti bancari, registri delle transazioni e sezioni del codice software interno della banca. I ricercatori di sicurezza informatica che hanno esaminato il materiale trapelato hanno affermato che sembra coerente con i dati presi da un istituto finanziario, sebbene la violazione non sia stata ancora verificata in modo indipendente.
Habib Bank, fondata nel 1967, opera in diverse regioni, tra cui Svizzera, Regno Unito, Emirati Arabi Uniti, Hong Kong e Kenya. L’azienda impiega quasi 8.000 persone in quasi 600 filiali in tutto il mondo e ha registrato un fatturato di circa 750 milioni di dollari l’anno scorso. La banca non ha ancora commentato pubblicamente l’incidente né ha confermato se i suoi sistemi siano stati compromessi.
Se confermata, la violazione sarebbe uno degli attacchi più gravi a un’istituzione finanziaria europea quest’anno. La scala dei dati presumibilmente presi suggerisce che gli aggressori avevano accesso profondo ai sistemi operativi. Gli esperti di sicurezza informatica affermano che l’inclusione del codice sorgente interno potrebbe consentire ulteriori attacchi o esporre i punti deboli dell’infrastruttura digitale della banca.
Il gruppo Qilin, che è stato collegato a diverse grandi campagne di estorsione, utilizza in genere un modello di doppia estorsione. Crittografa i sistemi delle vittime e ruba grandi volumi di dati, quindi minaccia di rilasciare le informazioni rubate a meno che non venga pagato un riscatto. La divulgazione pubblica sul sito della fuga di notizie del gruppo è spesso utilizzata per aumentare la pressione e il danno reputazionale per l’organizzazione vittima.
Gli istituti finanziari rimangono bersagli frequenti di tali operazioni a causa del volume di informazioni sensibili in loro possesso e della potenziale leva finanziaria che gli aggressori possono ottenere. Le banche sono inoltre interconnesse in più giurisdizioni, il che complica la risposta e la supervisione normativa. Gli esperti avvertono che i gruppi di ransomware spesso sfruttano sistemi obsoleti, dipendenze software di terze parti e un’infrastruttura legacy complessa che è difficile da applicare rapidamente alle patch.
Per i clienti di Habib Bank, la potenziale esposizione di identificatori personali e registri delle transazioni aumenta il rischio di frode e furto di identità. Se i dati trapelati sono autentici, potrebbero anche consentire tentativi di phishing o di ingegneria sociale rivolti ai titolari di account e al personale. Le autorità svizzere e britanniche sono tenute a verificare se la banca deve informare le autorità di regolamentazione o i clienti interessati ai sensi della legge sulla protezione dei dati.
Le indagini sono ora concentrate sulla conferma dell’entità della violazione e sulla determinazione del modo in cui gli aggressori hanno ottenuto l’accesso. I team forensi stanno probabilmente esaminando se la compromissione ha avuto origine da sistemi interni, accesso del fornitore o credenziali dei dipendenti. Data l’affermazione che il codice sorgente interno è stato preso, la banca potrebbe dover controllare i propri strumenti di sviluppo software e monitorare i tentativi di sfruttare il codice appena esposto.
Gli attacchi ransomware alle istituzioni finanziarie stanno diventando sempre più strutturati e professionali. Gli analisti affermano che gli attori delle minacce stanno passando dal phishing opportunistico a campagne in più fasi che combinano il furto di dati con l’estorsione finanziaria e la manipolazione del mercato. I gruppi criminali ora operano con gerarchie di tipo aziendale e spesso si affidano a partner per il riciclaggio dei dati, la negoziazione e la manutenzione dell’infrastruttura.
Questo caso riflette anche la sfida continua di bilanciare sicurezza e trasparenza. Le banche raramente confermano immediatamente gli incidenti informatici a causa del potenziale impatto sulla fiducia del mercato. Tuttavia, le rivendicazioni pubbliche sui siti di perdita possono costringere rapidamente a una risposta. Se il gruppo Qilin rilascia più dati, le autorità di regolamentazione e le forze dell’ordine potrebbero intervenire per coordinare un’indagine transfrontaliera.
Per il settore finanziario in generale, l’incidente è un altro promemoria del fatto che la resilienza operativa dipende da qualcosa di più degli audit di conformità o delle certificazioni standard di sicurezza informatica. Le istituzioni sono esortate ad adottare il monitoraggio in tempo reale, migliorare il rilevamento dei trasferimenti di file anomali e rafforzare i controlli di accesso interni. Sono considerati essenziali anche test di sicurezza regolari, programmi di sensibilizzazione del personale e audit esterni.
Il caso Habib Bank dimostra che anche le istituzioni finanziarie di lunga data sono vulnerabili ai moderni attacchi ransomware. Se le affermazioni si rivelassero accurate, l’esposizione sia dei dati dei clienti che del codice sorgente potrebbe avere conseguenze a lungo termine per la banca e i suoi clienti. Con il proseguire delle indagini, l’incidente si aggiunge alle crescenti prove che il ransomware rimane una delle minacce più dirompenti e costose per il settore bancario globale.