Il gruppo ransomware Rhysida ha pubblicato quasi due terabyte di dati interni rubati a Gemini Group, un produttore con sede nel Michigan che fornisce attrezzature e materiali alle principali aziende automobilistiche. La fuga di notizie fa seguito a un termine di riscatto scaduto a fine ottobre ed espone documenti sensibili appartenenti sia ai dipendenti che ai clienti.
Rhysida ha elencato Gemini Group sul suo sito di leak e ha rilasciato circa 1,9 terabyte di dati contenenti oltre 1,7 milioni di file. Secondo quanto riferito, il materiale rubato include registri delle buste paga, documenti assicurativi, database dei clienti, comunicazioni interne e rapporti di produzione. I ricercatori di sicurezza hanno confermato che il set di dati contiene dettagli finanziari, informazioni personali dei dipendenti e documenti aziendali che potrebbero rivelare operazioni interne e strutture di prezzo.
Gemini Group gestisce 18 strutture negli Stati Uniti e in Messico e impiega diverse migliaia di lavoratori. La società ha confermato di aver subito un incidente di sicurezza informatica, ma non ha fornito dettagli su come gli aggressori hanno ottenuto l’accesso, se è stato distribuito il ransomware o se è stata pagata una richiesta di riscatto. L’azienda ha affermato che sta lavorando con esperti di sicurezza informatica e forze dell’ordine per determinare la portata della violazione.
La fuga di dati, pubblicata il 31 ottobre, solleva notevoli preoccupazioni sulla privacy e sulle aziende. I file che circolano online sembrano contenere nomi di dipendenti, titoli di lavoro, date di assunzione, date di nascita, indirizzi, numeri di previdenza sociale, informazioni sullo stipendio e dettagli sull’assicurazione sanitaria. Alcuni documenti fanno riferimento anche agli ordini di acquisto e alle comunicazioni con i fornitori che potrebbero esporre strategie e relazioni commerciali.
Gli analisti della sicurezza informatica affermano che l’esposizione di dati personali e aziendali così dettagliati potrebbe avere conseguenze a lungo termine. Gli identificatori personali come i numeri di previdenza sociale non possono essere modificati facilmente, creando un rischio continuo di furto di identità e frode finanziaria. Allo stesso tempo, il rilascio di dati commerciali potrebbe consentire ai concorrenti di studiare le dinamiche della catena di approvvigionamento o i prezzi, danneggiando potenzialmente le relazioni commerciali di Gemini Group.
Rhysida si rivolge alle catene di approvvigionamento industriali
Rhysida, un’operazione ransomware osservata per la prima volta nel 2023, è stata collegata a numerosi attacchi a istituzioni manifatturiere, sanitarie ed educative. Il gruppo in genere ottiene l’accesso tramite credenziali compromesse o sistemi di accesso remoto vulnerabili prima di rubare i dati e minacciare il rilascio pubblico. Gli esperti ritengono che Rhysida si concentri sulle organizzazioni con operazioni critiche, in cui i tempi di inattività potrebbero spingere le vittime a pagare i riscatti.
In questo caso, sembra che gli aggressori abbiano dato la priorità al furto di dati rispetto all’interruzione del sistema. La fuga di grandi volumi di documentazione suggerisce un processo di esfiltrazione organizzato progettato per infliggere danni reputazionali e finanziari. L’annuncio del gruppo ha descritto Gemini Group come parte di una campagna che prende di mira quelli che ha definito “operatori industriali strategici”, un’affermazione che si allinea con i recenti incidenti che hanno coinvolto altri produttori nordamericani.
Gli analisti della sicurezza notano che le reti di produzione e di fornitura industriale sono diventate obiettivi chiave a causa dei loro sistemi interconnessi e della dipendenza da fornitori di terze parti. Una violazione in un fornitore può esporre informazioni sensibili in più aziende, amplificando la portata di ciascun attacco. In settori come la produzione automobilistica, dove il coordinamento digitale della supply chain è essenziale, i rischi vanno oltre la singola azienda.
La violazione di Gemini Group illustra come gli aggressori considerino sempre più i fornitori come gateway per reti più grandi. I fornitori industriali spesso archiviano la documentazione dei clienti, i progetti di progettazione e i dati operativi che sono preziosi sia per i criminali che per gli attori delle minacce allineati allo stato. Gli esperti avvertono che queste reti devono essere trattate come infrastrutture critiche che richiedono gli stessi standard di sicurezza informatica dei principali produttori.
La società non ha commentato pubblicamente l’autenticità dei file trapelati, ma i forum di sicurezza informatica che hanno esaminato i campioni riportano che i dati sembrano legittimi. Gemini Group continua a lavorare con investigatori esterni, mentre ai dipendenti interessati viene consigliato di monitorare i conti bancari e finanziari e di prestare attenzione ai tentativi di phishing che utilizzano informazioni rubate.
L’incidente evidenzia la crescente sovrapposizione tra violazioni dei dati e campagne ransomware nei settori industriali. Anche quando i sistemi rimangono operativi, il furto di informazioni riservate può essere abbastanza dannoso da interrompere la continuità aziendale. Per aziende come Gemini Group, la sfida ora consiste nel garantire le operazioni digitali in un’ampia rete di fornitori, rassicurando al contempo i partner che l’integrità dei dati può essere ripristinata.