La notizia, pubblicata alla fine del mese di ottobre, riguarda un grave attacco cyber ai danni di una delle più importanti realtà del fast fashion statunitense: Hot Topic. Di fatto, un database contenente dati personali e di pagamento di clienti Hot Topic è stato messo in vendita su un forum illecito. Si parla di 350 milioni di dati, in quello che le società di cybersecurity definiscono il più grave attacco mai registrato nel settore retail.
L’attaccante, identificato con il nome "Satanic", ha dichiarato di possedere informazioni di clienti di Hot Topic, Torrid e Box Lunch, tra cui nomi, indirizzi email e fisici, transazioni e punti fedeltà. Gli esperti ritengono che la causa sia un’infezione da infostealer su un dipendente di un fornitore terzo, che non utilizzava l’autenticazione multifattore (Mfa) su un account Snowflake. Il database è stato inizialmente offerto a 20.000 dollari, successivamente ridotto a 10.000, con una richiesta di 100.000 dollari a Hot Topic per eliminarlo. Gli esperti avvertono che i dati rubati potrebbero essere utilizzati per furto d’identità, frodi finanziarie e compromissione di account. Questa la cronaca.
Qualche dettaglio tecnico sull’attacco
Tecnicamente, gli attori delle minacce stanno sfruttando la funzione Transfer Acceleration di Amazon S3 per esfiltrare dati durante attacchi ransomware. I ricercatori hanno osservato che gli attaccanti mascherano un ransomware sviluppato in Golang facendolo sembrare il noto e pericoloso malware LockBit, per aumentare l’effetto intimidatorio.
Il ransomware include credenziali Aws preconfigurate, che permettono di caricare i dati esfiltrati in bucket S3 controllati dagli attaccanti. I ricercatori hanno identificato oltre 30 campioni di ransomware con chiavi di accesso Aws integrate, indicando un attivo sviluppo di varianti cross-platform progettate per colpire sia Windows che macOS.
Il crescente rischio di infostealer nel mercato retail
Alla luce di quanto accaduto, abbiamo sentito il parere di Irina Artioli, Cyber Protection Evangelist presso Acronis Threat Research Unit (Tru), cercando di capire se l’evento che ha colpito Hot Topic rappresenti segnale di allarme per il settore retail. “Non si tratta di un attacco isoltato –ha spiegato Artioli-, ma evidenzia un problema sempre più diffuso: l'uso di malware infostealer per raccogliere credenziali e dati sensibili. Gli infostealer sono diventati strumenti centrali nel panorama delle minacce informatiche: stimiamo qualcosa come 250.000 infezioni giornaliere”.
Gli infostealer rubano dati da browser e dispositivi, utilizzandoli per accedere ad altri sistemi. Il problema, evidenza ancora Artioli, è che spesso gli attacchi avvengono anche a distanza di anni dal furto, “dato che purtroppo le credenziali rubate raramente vengono cambiate dagli utenti”. Il settore retail è particolarmente esposto, soprattutto durante momenti di alta domanda come Black Friday o saldi, quando la mole di dati personali, finanziari e delle carte di credito rende i retailer obiettivi privilegiati. “Ma non ci si può fermare al furto delle credenziali degli utenti. Non sono da sottovalutare nemmeno gli attacchi alla supply chain, che amplificano il rischio, coinvolgendo partner terzi che possono diventare obiettivo per i cybercriminali”.
Come proteggere il settore retail dagli attacchi informatici
Per mitigare i rischi, le aziende devono adottare un approccio di sicurezza multilivello. Misure come autenticazione multifattore (Mfa), patch management e vulnerability assessment sono essenziali per prevenire intrusioni attraverso credenziali rubate o vulnerabilità software non aggiornate. Tuttavia, queste misure devono essere integrate oggi con strumenti avanzati, che integrano tecniche di machine learning e intelligenza artificiale, capaci di rilevare e bloccare minacce in evoluzione.
Anche la formazione del personale è fondamentale: pratiche poco sicure, come l’uso di fogli con password visibili, possono vanificare le migliori soluzioni tecnologiche.
Il fenomeno del phishing, amplificato dall’intelligenza artificiale, e l’uso fraudolento di QR code sono ulteriori vettori di attacco che richiedono maggiore consapevolezza da parte degli utenti. Fondamentale, va da sé, è anche il backup per ripristinare i dati compromessi.
“Come Acronis noi rispondiamo con le nostre soluzioni, come Active Protection, che aiuta a garantire l’identificazione tempestiva delle minacce, fondamentale in un ambito nel quale la velocità di reazione è indispensabile, e la continuità operativa. Tutte queste misure non sono più un'opzione, ma una necessità”, conclude Artioli.
