Un grande broker francese vittima di attacco ransomware

Secondo quanto ha appreso l’Argus, un broker grossista francese è stato il bersaglio di un tentativo di attacco ransomware a metà agosto, che lo ha costretto a isolare parte dei suoi server. Il piano di continuità aziendale è stato attivato per prevenire il furto di dati.

Neanche il settore delle assicurazioni e del brokeraggio assicurativo sfugge alla recrudescenza degli attacchi informatici di tutti i tipi.

AssurOne, la controllata del gruppo Prévoir, ne ha fatto un’amara esperienza durante l’estate. Secondo le informazioni raccolte da L’Argus de l’assurance, l’ottavo più grande broker grossista è stato l’obiettivo, il 14 agosto, di un tentativo di ransomware da parte di Ragnarok, un gruppo di hacker che è stato attivo dal 2019. Questo gruppo criminale è noto per aver già attaccato grandi gruppi come EDP, il gigante portoghese dell’energia, l’editore Citrix e l’editore di videogiochi Capcom.

 attacco ransomware

Isolare i data center colpiti

La tecnica è ben collaudata. Il ransomware si infiltra nel sistema informatico e lo paralizza criptando tutti i dati sul server. Una chiave di decrittazione viene poi offerta alla vittima in cambio di un riscatto, solitamente pagabile con una criptovaluta. In questo caso, il tentativo di intrusione ha avuto luogo nei data center di uno dei tre siti di AssurOne, situato a Pont-Audemer nella regione dell’Eure, costringendo il gruppo a isolare rapidamente i server presi di mira.

Come conseguenza diretta, le varie attività di AssurOne – servizi di gestione, fidelizzazione dei clienti, ecc – sono state gravemente interrotte per diversi giorni. “Non appena ci siamo accorti dell’attacco, abbiamo immediatamente istituito un’unità di crisi e attivato il nostro piano di continuità aziendale con l’obiettivo primario di proteggere i dati dei nostri clienti, partner e dipendenti. L’attacco è stato limitato ad AssurOne e non ha colpito le altre entità del gruppo Prévoir”, ha detto AssurOne a L’Argus.

Quasi 15 giorni dopo il tentato attacco, il gruppo ha ripreso il 90% della sua attività, ad eccezione del suo servizio di televendita. “In questa fase, possiamo confermare che nessun dato è stato esfiltrato. I dati erano illeggibili in modo che gli hacker non potessero sfruttarli”, aggiunge AssurOne.

Un’agenzia di cybersicurezza al capezzale di AssurOne

La filiale del gruppo Prévoir conferma che non ha pagato il riscatto e ha presentato una denuncia alla Gendarmeria e alla CNIL. Aveva anche stipulato una polizza di assicurazione informatica dieci anni fa, che gli ha permesso di beneficiare del sostegno di un’agenzia specializzata in sicurezza informatica. Il suo obiettivo immediato è quello di identificare la fonte della violazione del sistema informativo e qualsiasi perdita di dati.

Nella sua sfortuna, AssurOne può ritenersi fortunata. Appena dieci giorni dopo il tentativo di violazione, Ragnarok ha annunciato il suo scioglimento e pubblicato le chiavi di decrittazione che permettono alle sue vittime di decrittare i dati bloccati. Tuttavia, AssurOne ha deciso di non utilizzarli.