Non è una bella settimana per Ferrari. Dopo che la Scuderia di Formula 1 ha chiuso il weekend con risultati per così dire migliorabili, ecco ora l'annuncio pubblico di un data breach che ha colpito la sede italiana. Data breach scoperto, secondo quanto si sa al momento, perché all'azienda è arrivata una richiesta di riscatto.

Ferrari stessa spiega che Ferrari SpA è stata contattata da un "threat actor" che ha presentato una richiesta di riscatto "relativa i dati di contatto di alcuni clienti". Ferrari ha avviato, di conseguenza, le sue investigazioni affiancata da un partner di cyber security. E ha avvisato le autorità competenti, come indicano le normative (GDPR in primis). Il riscatto non è stato pagato, sottolinea Ferrari, perché è politica dell'azienda non farlo. Pagare un riscatto, si spiega, "sovvenziona attività criminali e permette ai threat actor di continuare nei loro attacchi". Una visione corretta.

Nel frattempo Ferrari ha avvisato i clienti coinvolti di quanto è successo e della potenziale "fuga" di dati che li riguardano. Nella informativa ai clienti, Ferrari spiega che l'attacco ha permesso ai criminali "di accedere a un numero limitato di sistemi del nostro ambiente IT". Il data breach non ha impattato l'operatività dell'azienda, quindi - a buon senso - ha colpito solo la parte amministrativa.

I dati potenzialmente esposti sono, spiega sempre Ferrari, nomi, indirizzi, indirizzi di email e numeri telefonici di alcuni clienti (il numero non è stato precisato). I dati esfiltrati non comprendono, "in base alle investigazioni", informazioni più sensibili come quelle di pagamento. E nemmeno i dati relativi alle vetture acquistate oppure ordinate.

Anche così l'incidente ha una certa rilevanza, perché venire in possesso dei dati di contatto di clienti Ferrari significa avere informazioni su persone con evidentemente una buona capacità di spesa. Che ora devono probabilmente aspettarsi qualche tentativo di attacco di social engineering o spear phishing.

Ma potrebbe essere anche peggio. Una recente tendenza evidenziata dai gruppi ransomware infatti,, è usare le informazioni di contatto esfiltrate per avviare vere e proprie campagne continuate di "molestie" verso i manager e anche i clienti delle aziende colpite, per indurle a cedere alle loro richieste

Secondo quanto indica una analisi di Palo Alto Networks, alla fine del 2022 si poteva valutare che nel 22% dei casi di attacco ransomware, gli attaccanti avevano ripetutamente contattato via telefono o email dipendenti e/o clienti delle aziende bersagliate, con messaggi e persino minacce.

Ferrari spiega di aver lavorato con "esperti terze parti" per "rinforzare ulteriormente" i propri sistemi IT. E che è "fiduciosa della loro resilienza". Ma non dà ovviamente dettagli su come l'attacco e il data breach siano avvenuti, in concreto.

Non è chiaro se l'incidente ufficializzato ora sia collegato a quello che era stato rilevato, ma non confermato da Ferrari, lo scorso ottobre. Qualche mese fa, infatti, il gruppo RansomEXX aveva messo in vendita 7 GB di dati e documenti che affermava provenissero dai sistemi IT della società italiana. Sul Dark Web, d'altronde, i dati non mancano mai.