Un noto gruppo di ransomware noto come Play Ransomware ha rivendicato la responsabilità di un attacco informatico a Professional’s Choice Sports Medicine Products, un’azienda californiana che progetta attrezzature per cavalli e cavalieri. Il gruppo ha pubblicato un annuncio sul suo sito web il 4 novembre, affermando di aver rubato i dati dell’azienda, tra cui i registri delle buste paga, i documenti di identificazione, i file fiscali e le informazioni finanziarie.
Professional’s Choice, fondata nel 1976, produce dispositivi di protezione e prodotti ad alte prestazioni per l’industria degli sport equini. La società non ha ancora rilasciato alcuna dichiarazione pubblica in merito all’incidente.
Play Ransomware è noto per l’utilizzo di un modello a doppia estorsione. Gli aggressori prima crittografano i sistemi aziendali e chiedono un riscatto per ripristinare l’accesso. Quindi minacciano di rilasciare o vendere i dati rubati a meno che non venga effettuato un pagamento aggiuntivo. L’FBI ha precedentemente identificato Play Ransomware come collegato ad attori di lingua russa.
Gli analisti che monitorano l’attività del ransomware affermano che Play ha elencato più di 900 vittime in diversi settori. I suoi obiettivi spaziano dai fornitori industriali e sanitari ai piccoli produttori. Il gruppo è attivo dalla metà del 2022 ed è considerato una delle operazioni ransomware più coerenti attualmente attive.
L’incidente di Professional’s Choice evidenzia come le aziende manifatturiere e specializzate più piccole rimangano a rischio nonostante le loro dimensioni. Gli aggressori spesso prendono di mira tali aziende perché potrebbero avere difese più deboli, personale limitato per la sicurezza informatica e preziosi dati finanziari o dei dipendenti. Anche le aziende che operano in mercati di nicchia, come la medicina equina, possono attirare attori delle minacce in cerca di profitti rapidi.
I ricercatori di sicurezza avvertono che una volta che un gruppo di ransomware ne rivendica la responsabilità, i dati rubati dovrebbero essere considerati compromessi indipendentemente dal fatto che il riscatto venga pagato. Gli aggressori in genere vendono o fanno trapelare i dati dopo il fallimento delle negoziazioni, creando rischi a lungo termine sia per i dipendenti che per i clienti.
Gli esperti raccomandano alle aziende di adottare misure di protezione più forti come la segmentazione della rete, i backup dei dati offline e i test regolari delle procedure di risposta agli incidenti. Anche l’autenticazione a più fattori, gli aggiornamenti software tempestivi e l’accesso limitato di terze parti sono considerati difese essenziali contro il ransomware.
Il monitoraggio del dark web alla ricerca di potenziali fughe di notizie e il controllo delle credenziali rubate sono ora parti standard della risposta alle violazioni. Le organizzazioni dovrebbero anche condurre revisioni forensi per capire in che modo gli aggressori hanno ottenuto l’accesso e quali sistemi sono stati colpiti. La trasparenza con dipendenti, clienti e partner può aiutare a ricostruire la fiducia e ridurre i danni alla reputazione.
Sebbene Professional’s Choice non abbia confermato i dettagli della violazione, l’evento illustra un cambiamento più ampio nel crimine informatico. I gruppi di ransomware non si concentrano più esclusivamente sulle grandi aziende o sugli enti governativi. Invece, si rivolgono alle imprese più piccole in tutte le catene di approvvigionamento in cui la sicurezza digitale potrebbe essere meno solida.
Per molte aziende, il ransomware è ora una questione di continuità aziendale, non solo di rischio informatico. L’attacco a Professional’s Choice serve a ricordare che qualsiasi organizzazione che gestisce dati sensibili deve trattare la sicurezza informatica come una parte centrale delle proprie operazioni.