L'industria della cybersecurity è stata scossa da una rivelazione che ha ribaltato completamente le prime dichiarazioni di uno dei suoi protagonisti più noti. SonicWall, azienda specializzata in soluzioni firewall e sicurezza di rete, ha dovuto ammettere che l'incidente di sicurezza segnalato a metà settembre ha colpito non una piccola percentuale dei suoi clienti, come inizialmente comunicato, ma la totalità degli utenti che utilizzano il servizio di backup cloud MySonicWall. Una correzione che trasforma quello che sembrava un problema circoscritto in una crisi di proporzioni ben più ampie.
Dalla minimizzazione alla verità completa
Il 17 settembre scorso, quando SonicWall aveva annunciato per la prima volta l'attacco informatico, l'azienda aveva rassicurato il mercato sostenendo che l'incidente riguardava "meno del cinque percento" della sua clientela. Una stima che si è rivelata drammaticamente errata o, nel peggiore dei casi, una comunicazione volutamente minimizzante per contenere i danni reputazionali.
I cybercriminali sono riusciti a sottrarre file di backup configurati per il servizio cloud, contenenti credenziali crittografate e dati di configurazione. Nonostante la crittografia rimanga attiva, il possesso di questi file rappresenta un significativo incremento del rischio di attacchi mirati contro le organizzazioni coinvolte.
L'allarme degli esperti di sicurezza
Stefan Hostetler, ricercatore specializzato in intelligence delle minacce presso Arctic Wolf, ha lanciato un chiaro avvertimento sulla gravità della situazione. Secondo l'esperto, i file di configurazione dei firewall rappresentano un tesoro di informazioni sensibili che possono essere sfruttate dai criminali informatici per penetrare nelle reti delle organizzazioni target.
Le informazioni compromesse includono impostazioni relative a utenti, gruppi e domini, configurazioni DNS e di logging, oltre a certificati digitali. Arctic Wolf ha documentato in passato come gruppi di ransomware e attori sponsorizzati da stati nazionali abbiano utilizzato proprio questo tipo di file per orchestrare attacchi futuri più sofisticati e mirati.
Piano di emergenza e classificazione dei rischi
Di fronte all'ampiezza reale dell'incidente, SonicWall ha attivato un protocollo di emergenza che prevede verifiche costanti degli aggiornamenti per tutti i dispositivi dei clienti. L'azienda ha pubblicato un elenco dettagliato dei dispositivi interessati sul proprio portale clienti, accessibile nella sezione "Product Management > Issue List".
Il sistema di classificazione adottato distingue i dispositivi in tre categorie di priorità: "Active — High Priority" per quelli esposti a internet e quindi più vulnerabili, "Active — Lower Priority" per i dispositivi senza accesso diretto alla rete globale, e "Inactive" per quelli che non hanno stabilito contatti negli ultimi 90 giorni. Per supportare gli amministratori di sistema nella gestione dell'emergenza, è stato reso disponibile anche un manuale operativo dettagliato che funge da guida per le azioni correttive necessarie.
Questo incidente evidenzia ancora una volta come la comunicazione trasparente durante le crisi di sicurezza sia fondamentale per mantenere la fiducia del mercato e permettere alle organizzazioni di adottare tempestivamente le misure di protezione appropriate.