Il produttore tessile italiano Fulgar sta valutando l’impatto di un attacco ransomware che ha costretto l’azienda a chiudere la sua rete IT nazionale e ad avviare una revisione forense dei suoi sistemi. L’incidente è stato rilevato il 3 novembre, quando le squadre di sicurezza hanno identificato un’attività insolita che indicava un’intrusione. Fulgar ha segnalato l’attacco in un avviso pubblico e ha dichiarato che potrebbe essere avvenuto l’accesso ai dati interni, anche se l’azienda non ha ancora confermato alcun caso specifico di esposizione dei dati.
Il gruppo ransomware RansomHouse ha successivamente rivendicato la responsabilità e ha pubblicato il nome di Fulgar sul suo sito di leak. Secondo il gruppo, ha iniziato a infiltrarsi nei sistemi dell’azienda il 31 ottobre prima di rendere pubblica l’affermazione a metà novembre. Gli aggressori hanno pubblicato una serie di file di esempio che sembrano contenere informazioni finanziarie interne e corrispondenza. L’intento dietro il rilascio di tali campioni è quello di spingere le vittime a negoziare dimostrando che i dati sono stati presi durante l’intrusione.
Fulgar produce filati sintetici e fibre tecniche per un’ampia gamma di marchi globali. I suoi materiali sono utilizzati nell’abbigliamento sportivo, nella lingerie, nella calzetteria e nei tessuti tecnici e l’azienda gestisce strutture in Italia, Sri Lanka e Turchia. Poiché tra i suoi clienti ci sono aziende riconosciute a livello internazionale come Adidas e H&M, l’attacco ha attirato l’attenzione degli analisti della sicurezza che tengono traccia degli incidenti all’interno delle catene di approvvigionamento globali. Un’interruzione di un fornitore di questa portata può creare complicazioni a valle per i marchi che dipendono dalla produzione continua di materiali.
Fulgar ha dichiarato di aver immediatamente avviato i suoi protocolli di sicurezza una volta rilevato l’attacco. L’azienda ha disconnesso i sistemi critici, ha contattato specialisti esterni di sicurezza informatica e ha informato le autorità locali. La sua dichiarazione pubblica ha osservato che l’impatto a lungo termine dell’incidente rimane in fase di revisione. Fulgar ha dichiarato che sta lavorando per comprendere la portata dell’intrusione e per determinare se siano state esfiltrate informazioni personali o commercialmente sensibili.
La fase iniziale dell’indagine significa che i dettagli sull’impatto operativo sono limitati. Fulgar non ha dichiarato se le attività produttive in uno dei suoi stabilimenti siano state influenzate dalla chiusura della rete IT. L’azienda si è concentrata sul contenimento dell’intrusione e sul ripristino dei sistemi in modo controllato per prevenire ulteriori danni o perdite di dati. Ha inoltre osservato che le operazioni con i clienti sarebbero continuate durante l’indagine, sebbene non abbia specificato se potrebbero verificarsi ritardi o interruzioni.
Dati pubblicati dagli aggressori e potenziale impatto aziendale
I file di esempio pubblicati da RansomHouse includono fogli di calcolo che elencano i registri finanziari, le comunicazioni con i partner esterni e varie fatture. Sebbene gli investigatori non abbiano confermato pubblicamente l’autenticità di ogni documento, il materiale rilasciato dal gruppo è in linea con i tipi di dati comuni presi in attacchi simili. Tali informazioni potrebbero fornire informazioni sulle strutture dei prezzi, sui programmi di produzione o sulla pianificazione strategica. Nelle mani degli aggressori, queste informazioni possono anche essere utilizzate per creare tentativi di phishing mirati che possono minacciare dipendenti o aziende partner.
I dati trapelati dai fornitori possono essere preziosi per i gruppi criminali perché offrono un contesto che consente tentativi di impersonificazione più convincenti. Supponiamo che gli aggressori capiscano come un’azienda comunica internamente o quali tipi di documenti scambia con i suoi clienti. In tal caso, sono in una posizione migliore per sviluppare messaggi fraudolenti che possono portare a ulteriori compromissioni. Questo rischio si estende oltre Fulgar a qualsiasi organizzazione coinvolta nella comunicazione di routine con l’azienda.
Il caso Fulgar sottolinea anche il crescente numero di incidenti informatici che colpiscono i produttori in Europa e in Asia. Le aziende industriali gestiscono una combinazione di dati di produzione, informazioni logistiche e registri finanziari, che possono essere preziosi per gli aggressori. Quando questi dettagli vengono esposti, possono rivelare informazioni sulla concorrenza che potrebbero fornire vantaggi commerciali ad altri attori del mercato. Possono anche fornire agli aggressori informazioni dettagliate sulle vulnerabilità esistenti in una rete più ampia di partner.
RansomHouse è noto per la pubblicazione dei dati in più fasi in cui le vittime non soddisfano le richieste. Il gruppo utilizza tattiche di pressione che si intensificano nel tempo, spesso rilasciando file aggiuntivi se non viene raggiunto un accordo. Questo modello crea un’incertezza prolungata per le aziende che cercano di gestire l’incidente mantenendo le operazioni.
Fulgar continua a lavorare con gli investigatori per valutare le conseguenze dell’attacco. Il caso rimane attivo e le autorità non hanno rilasciato una tempistica per la conclusione dell’indagine completa. Man mano che emergono ulteriori informazioni, è probabile che l’incidente venga esaminato come parte di un modello più ampio che interessa i produttori con esposizione alla catena di approvvigionamento internazionale.