Dopo essere caduta vittima di due attacchi informatici confermati, e un possibile terzo, dal 2019, Carnival Corporation & plc ha esperti che suggeriscono che l'operatore di crociere – già minacciato dall'impatto del Covid-19 sul settore dei viaggi – potrebbe aver bisogno di istituire importanti riforme al suo programma di sicurezza e le politiche prima di subire ulteriori danni alla sua reputazione.
All'inizio di questa settimana, la società da 20,8 miliardi di dollari ha ammesso in un comunicato stampa e in un deposito 8-K presso la Securities and Exchange Commission che uno dei suoi marchi di crociere ha subito un attacco ransomware il 15 agosto durante il quale gli attori della minaccia "hanno acceduto e crittografato una parte di i sistemi informatici di un marchio [di nave da crociera] ”e hanno anche esfiltrato informazioni sensibili sui clienti, potenzialmente a scopo di estorsione. La divulgazione è arrivata pochi mesi dopo che la società ha annunciato separatamente lo scorso marzo che le sue operazioni Princess e Holland Cruise Line nel 2019 hanno subito una violazione dei dati dannosa derivante da una campagna di phishing.
A complicare le cose, la società di cyber intelligence Prevailion ora afferma di aver visto prove di una compromissione della rete e di un'infezione da malware a Carnival per un periodo compreso tra il 2 febbraio e il 6 giugno 2020 e ha tentato di avvisare la società, ma non ha mai ricevuto una risposta indietro. L'intrusione teoricamente potrebbe essere legata all'attacco ransomware appena riconosciuto, anche se i tempi di entrambi gli eventi non sembrano sincronizzarsi, oppure potrebbe essere un incidente separato.
Qualsiasi azienda può potenzialmente essere violata, ma questa convergenza di notizie preoccupanti negli ultimi mesi ha fatto sì che alcuni esperti informatici e osservatori si scontrassero duramente con l'organizzazione.
La società di intelligence per la sicurezza informatica Bad Packets ha dichiarato a BleepingComputer che l'attacco "non è stato sorprendente dato che avevano più server Citrix" vulnerabili agli exploit che potrebbero consentire a un operatore di ransomware di accedere alla rete.
"Questo è un altro caso di una società che non intraprende le misure per difendere adeguatamente le proprie reti contro i cattivi attori del mondo", ha affermato Chris Hauk, campione della privacy dei consumatori presso Pixel Privacy. "… Carnival non è riuscita ad applicare la patch ai suoi dispositivi gateway periferici e ai firewall, anche se dall'inizio di quest'anno sono disponibili patch per risolvere entrambi i problemi."
"Per quanto riguarda i clienti Carnival, dovranno tenere gli occhi aperti per tentativi di phishing e altri attacchi progettati per separarli dalle loro informazioni personali e dai soldi guadagnati duramente", ha continuato Hauk, "poiché i malintenzionati potrebbero tentare di sfruttare i dati tratto da questo attacco e dalla violazione dei dati avvenuta all'inizio di quest'anno ".
"Qualsiasi organizzazione che non sia in grado di individuare e applicare patch a sistemi vulnerabili in meno di una settimana è a rischio significativo di compromissione da parte di gruppi di hacking organizzati", ha affermato Chris Clements, VP of solutions architecture presso Cerberus Sentinel. “Una volta che il perimetro della rete è stato violato, gli hacker esperti possono impiegare poco più di poche ore per ottenere il controllo completo della rete interna della vittima e distribuire il loro ransomware.
"Carnival afferma di aver rilevato l'attacco ransomware il 15 agosto, ma è probabile che gli aggressori abbiano avuto accesso alla loro rete e ai dati per settimane o mesi prima di cercare ed estrarre tutti i dati sensibili che potevano trovare", ha aggiunto Clements.
Caso in questione: la violazione dei sistemi rilevata da Prevailion apparentemente è continuata per poco più di quattro mesi. Durante quel periodo, il malware è arrivato a un server di comando e controllo circa 46.000 volte, con il picco di attività che si è verificato tra l'11 aprile e il 6 giugno, ha riferito la società in un post sul blog .
In un'intervista con SC Media, il CEO di Prevailion Karim Hijazi ha affermato che la sua azienda monitora regolarmente l'attività di comando e controllo su Internet. La divulgazione della violazione iniziale da parte di Carnival nel marzo 2020 ha spinto Prevailion a ordinare i dati relativi a Carnival. In tal modo, gli analisti hanno scoperto un programma dannoso che risiede sulla rete di Carnival e che si sta trasmettendo attivamente all'infrastruttura C2 di un utente malintenzionato. Hijazi ha affermato che dopo che gli sforzi di Prevailion per mettere in guardia Carnival sono rimasti senza risposta, la sua azienda ha deciso di presentare i suoi risultati una volta che la notizia dell'ultimo incidente di ransomware è stata diffusa.
L'attività malware individuata da Prevailion sembrava essere il lavoro di un trojan con capacità di comunicazione C2 che consentivano la possibile esfiltrazione di dati o la consegna di payload e aggiornamenti, incluso forse ransomware, ha detto Hijazi a SC Media.
"Questa è un'organizzazione che ha bisogno di dare davvero, davvero uno sguardo approfondito ai loro protocolli", ha detto Hijazi. “Siamo in grado di vedere il successo o il fallimento sistemico dell'organizzazione nel tempo. E il fatto che non sembrano gestire o rimediare, i problemi che hanno in una questione tempestiva ".
"Non stiamo incolpando le organizzazioni … per essere state compromesse o violate, perché succede – anche quelle più efficaci restano vittime di questo genere di cose. Ciò che è spiacevole è il tempo di permanenza e il periodo di tempo in cui il malware è stato in grado di risiedere all'interno di quell'organizzazione ".
"… È una situazione deludente vedere un'organizzazione che ospita e detiene informazioni di persone che si fidano di loro con quei dati, perdere [quei dati] e poi continuare a far accadere quel fallimento", ha continuato Hijazi. “Perché sebbene non esista una cura o una panacea perfetta per il problema, le buone pratiche e il protocollo per affrontare il problema sono fondamentali e non sembra nemmeno che siano a conoscenza di alcuni di questi compromessi che si verificano. Se lo avessero fatto, avremmo assunto che avremmo visto desistere il beaconing, e non è stato così ".
Almeno, non fino al 7 giugno, quando l'attività del faro si è interrotta improvvisamente. Sembrerebbe che ciò significherebbe che non vi è alcuna connessione con l'attacco ransomware avvenuto più di due mesi dopo. Ma non necessariamente: Prevailion ha affermato che, sebbene il compromesso possa essere stato risolto, anche il malware potrebbe essere temporaneamente disattivato.
"Stiamo vedendo un sacco di malware che … rimarrà inattivo e poi tornerà in vita. Quindi eviterà il rilevamento ", ha detto Hijazi. Le squadre di sicurezza o le squadre di risposta agli incidenti "presumono che sia stato ripulito, se ne andranno e … quindi la pinna dorsale tornerà fuori dall'acqua e risorgerà o si infetterà nuovamente".
Indipendentemente dal fatto che gli incidenti siano collegati o meno, l'ultimo attacco avrà delle ramificazioni, che saranno solo esacerbate dagli effetti combinati degli incidenti precedenti. Ma quanto gravi saranno le conseguenze? Da parte sua, Carnival ha dichiarato nel suo deposito 8-K che "non crede che l'incidente avrà un impatto materiale sulla sua attività, operazioni o risultati finanziari".
Tuttavia, "ci aspettiamo che l'evento sulla sicurezza includa l'accesso non autorizzato ai dati personali di ospiti e dipendenti, il che potrebbe comportare potenziali reclami da parte di ospiti, dipendenti, azionisti o agenzie di regolamentazione", ha affermato Carnival. E sfortunatamente per le organizzazioni di violazione, questo conta ancora per la linea di fondo.
"Le ripercussioni di un attacco informatico ora si estendono ben oltre la perdita di dati e il pagamento del riscatto: i tempi di inattività operativi, i danni alla reputazione e il costo dell'installazione di nuovi sistemi possono paralizzare le aziende, quindi sì, gli attacchi hanno il potenziale per portare a danni significativi, finanziariamente, operativamente, e ovviamente a livello di reputazione ", ha affermato Justin Fier, direttore della cyber intelligence e analisi di Darktrace.
Detto questo, Fier credeva che Carnival avesse schivato un proiettile, osservando che il danno sarebbe stato molto peggiore se l'attacco di crittografia avesse interrotto le operazioni, cosa che non è realmente possibile in questo momento con le navi da crociera in gran parte attraccate durante la pandemia.
"Oggi vediamo le opinioni dei consumatori su un'organizzazione molto più colpita da tempi di inattività operativi dovuti a un attacco informatico piuttosto che dati personali compromessi", ha spiegato Fier, osservando che alla fine "non credo che questa violazione avrà un impatto sulle persone con cui i consumatori viaggiano".
"Tuttavia, è preoccupante per l'industria dei viaggi nel suo complesso", ha aggiunto. “L'industria dei viaggi sta lottando finanziariamente a causa della pandemia in corso, che potrebbe portare a tagli dei budget per la sicurezza. Nel mondo di oggi dipendente dalla tecnologia, la sicurezza informatica è fondamentale per la sopravvivenza di un'organizzazione e deve rimanere una priorità assoluta ".
In effetti, Proofpoint ha appena pubblicato un rapporto sul settore dei viaggi, osservando che delle 296 compagnie aeree membri della International Air Transport Association (IATA), il 61% non ha un record DMARC (Domain-based Message Authentication, Reporting & Conformance). , il che rende potenzialmente più vulnerabili le frodi di spoofing delle e-mail. E il 93% non aveva il criterio DMARC più sicuro e consigliato, "Rifiuta".
Finora, non sembra che i dati rubati siano trapelati, ma Erich Kron, sostenitore della consapevolezza della sicurezza presso KnowBe4, ha affermato che ciò non significa che le informazioni non finiranno per essere vendute sul dark web.
"In questo momento Carnival sta comprensibilmente rifiutando dichiarazioni alla fonte mentre lavora per scoprire l'entità dell'incidente e il potenziale impatto sui clienti o sull'organizzazione, un processo che richiede tempo", ha affermato Kron. "Spero che Carnival condivida le informazioni scoperte durante le indagini, anche se avviene tramite un'entità anonima di condivisione dei dati, al fine di aiutare altre organizzazioni a proteggersi da questi tipi di attacchi".
SC Media ha contattato Carnival, che non ha avuto commenti. Tuttavia, nel suo deposito 8-K, la società ha affermato di "aver implementato una serie di misure di contenimento e riparazione per affrontare questa situazione e rafforzare la sicurezza dei suoi sistemi informatici".
Gli esperti avevano le proprie idee su ciò che l'azienda poteva fare per migliorare la propria posizione informatica in futuro.
"La prima cosa è fare una valutazione davvero buona di dove le cose hanno fallito", ha detto Hijazi. Qual è esattamente la struttura organizzativa qui? Esiste una comprensione centrale di come la sicurezza dovrebbe essere obbligatoria nell'intero ecosistema del marchio? E se no, prendilo. "
A questo punto è un po 'più uno sforzo di gestione del cambiamento, se è davvero un fallimento sul fronte dei team di sicurezza rispetto a un problema informatico ", ha continuato Hijazi. "Penso che sempre più sentiamo parlare di come il cyber sia davvero più un problema di business, non solo un problema cyber … Quindi penso che la prima cosa sia una profonda valutazione di dove le cose hanno fallito. Il secondo è iniziare a lavorare verso un monitoraggio continuo per comprendere cosa sta succedendo, piuttosto che un approccio post-mortem al problema. [E] capire cosa sta succedendo in un ecosistema di terze parti e in un ecosistema di partner ".
Clements di Cerberus Sentinel ha aggiunto: "Le organizzazioni che cercano di proteggersi dagli attacchi ransomware devono adottare una cultura della sicurezza che includa la scansione regolare per gravi falle di sicurezza e l'applicazione di patch entro una settimana, assicurando che i controlli interni e il monitoraggio esistano per rilevare e limitare rapidamente un potenziale l'accesso degli aggressori e garantire che le operazioni di ripristino siano efficaci su vasta scala ".
Il post Carnival deve riparare la nave dopo che le violazioni minacciano la fiducia dei viaggiatori è apparso per la prima volta su SC Media .