Cybercriminali in azione, 10 attacchi al mondo dello sport

I Giochi Olimpici, la Coppa del Mondo FIFA e il Super Bowl sono solo alcuni esempi di eventi sportivi iconici che dimostrano l'importanza globale dell'industria dello sport professionistico. Ma se tra gli appassionati questi sport suscitano passione ed emozioni, ai criminali informatici interessa solo sfruttare la portata e le risorse del settore per arricchirsi con guadagni illeciti. I dati lo confermano: secondo un'indagine condotta nel 2020 per il National Cyber Security Centre (NCSC) del Regno Unito, uno sconcertante 70% delle organizzazioni sportive ha subito almeno un incidente informatico. Con il settore sportivo europeo che da solo rappresenta oltre il 2% del PIL del continente, la posta in gioco è innegabilmente alta.

Nell'articolo di Sabrina Curti (in foto), Marketing Manager di ESET Italia, vengono analizzati 10 casi in cui i club sportivi sono stati vittime di attacchi informatici.

Il libro dei giochi di BEC

Il report dell'NSCS ha individuato nelle frodi BEC (Business Email Compromise) la principale minaccia per le organizzazioni sportive. Come esempio, ha descritto un incidente che ha coinvolto il CEO di un club di Premier League il cui account email è stato compromesso nel corso di una trattativa per il trasferimento di un giocatore del valore di oltre 1 milione di dollari. Un attacco di spearphishing che ha indotto il manager a fornire credenziali su una pagina di login fasulla di Office 365. Gli hacker hanno tentato di attuare una frode BEC per quell’importo, ma la banca è intervenuta impedendo il trasferimento di denaro.

Un'altra importante squadra di calcio, la Lazio, è stata meno fortunata. Nel 2018, la società è stata indotta a pagare una tassa di trasferimento del valore di 2,5 milioni di dollari su un conto bancario controllato dai truffatori.

Colpito da un ransomware

Nel novembre 2020, il Manchester United è stato vittima di un attacco ransomware che ha interrotto le operazioni digitali del club. I criminali hanno chiesto un riscatto in cambio della decriptazione dei dati e del ripristino dell'accesso ai sistemi informatici. Il Man U ha messo offline i propri sistemi per limitare i danni e impedire che il ransomware si diffondesse nella rete. Ha inoltre collaborato con esperti di cybersicurezza e con le forze dell'ordine per indagare sull'incidente e determinarne la portata. Alla fine, il Man U ha contenuto l'attacco e ripristinato i suoi sistemi senza pagare il riscatto.

Sempre in tema di attacchi ransomware, i San Francisco 49ers, una delle affiliazioni più popolari della NFL, hanno annunciato nel 2022 che le informazioni sensibili di 20.000 dipendenti e tifosi erano state compromesse da un attacco ransomware. L’organizzazione ha anche risarcito le vittime.

Malware olimpico

La cerimonia di apertura dei Giochi Olimpici invernali del 2018 a PyeongChang, in Corea del Sud, è stata interrotta dal malware Olympic Destroyer che ha attaccato l'infrastruttura IT dell'evento, causando disagi durante la cerimonia e provocando caos tra gli spettatori. Tra le altre cose, ha disabilitato le connessioni Wi-Fi e le trasmissioni televisive, impedendo agli spettatori di partecipare all'evento. L'attacco ha cancellato le informazioni critiche sui sistemi Windows colpiti. Inoltre, il malware ha individuato posizioni di rete per propagarsi, aggravando i danni sui dispositivi connessi. Olympic Destroyer era in grado di installare un software progettato per catturare le password. L'attacco, attribuito ai gruppi APT Sandworm e Fancy Bear, ha colpito il sito web ufficiale dell'evento, i server delle stazioni sciistiche che ospitavano le gare olimpiche e due service provider che gestivano l'infrastruttura tecnica dell'evento. L'incursione ha mostrato la vulnerabilità degli eventi sportivi di alto profilo alle minacce informatiche.

Cartelle cliniche pubbliche

Nel 2016, l'Agenzia mondiale antidoping (WADA) ha subito una grave fuga di dati che ha esposto le informazioni mediche di numerose personalità dello sport mondiale. L'incidente, le cui vittime includevano le tenniste Venus e Serena Williams e la ginnasta Simone Biles, ha esposto le esenzioni per uso terapeutico (TUE) degli atleti, che permettono loro l’uso di sostanze di norma non consentite per trattare condizioni mediche specifiche. La WADA ha attribuito l'attacco al gruppo Fancy Bear e ha dichiarato che la violazione non solo ha minato l'integrità del programma TUE, ma ha anche minacciato la più ampia missione dell'agenzia di preservare la correttezza e la trasparenza nello sport.

Un canestro di dati

Nel marzo 2023, la National Basketball Association (NBA) ha comunicato una violazione dei dati presso uno dei suoi service provider di posta elettronica, con furto di nomi e indirizzi e-mail dei tifosi. Sebbene i sistemi dell'NBA non siano stati compromessi, l'incidente ha sottolineato la vulnerabilità dei provider esterni alle minacce informatiche. Le vittime sono state informate sulla possibilità di attacchi di phishing e social engineering. La NBA ha assicurato agli utenti che dati non erano stati compromessi e ha attivato protocolli di risposta agli incidenti oltre e un'indagine per analizzare quanto accaduto.

La compromissione di un service provider di newsletter di terze parti ha, invece, portato al furto delle informazioni degli utenti. Questa violazione ha sottolineato l'importanza di garantire la sicurezza di tutti i componenti dell'ecosistema di un'organizzazione, nonché la postura di sicurezza dei service provider esterni. Solide misure di cybersecurity e la definizione di protocolli per il monitoraggio e la risposta agli incidenti sono essenziali per mitigare l'impatto che tali violazioni possono avere su organizzazioni e clienti.

Houston, abbiamo un problema

L'iconica frase è tornata in auge nell'aprile del 2021, quando gli Houston Rockets sono stati vittime di un cyberattacco per mano del gruppo che opera con il ransomware Babuk. Gravi sono state le implicazioni per una delle squadre più importanti dell'NBA: sono trapelati oltre 500 GB di dati sensibili, tra cui contratti dei giocatori, registri dei clienti e dettagli finanziari. Babuk non è un ransomware sofisticato, ma l’impatto è stato importante e ha rappresentato un rischio per le organizzazioni di altri settori, tra cui quello sanitario e logistico. Sono incidenti che evidenziano la natura indiscriminata delle minacce informatiche e la necessità di solide misure di sicurezza informatica in tutti i settori.

Nessuna via di fuga

Ancora in tema di cyberattacchi nel mondo del basket. La fine di un quarto, durante una partita, è segnalata dal suono di un cicalino. Nell'ottobre del 2023, per la squadra di pallacanestro francese ASVEL è suonato un altro tipo di cicalino, che segnalava una violazione dei dati orchestrata dal gruppo che opera con il ransomware NoEscape. La squadra ha riconosciuto l'attacco e l'esfiltrazione di 32 GB di dati sensibili.

Un incidente Reale

Tornando al calcio, il 18 ottobre 2023, la Real Sociedad, con ottime prospettive in Champions League e nella Liga spagnola, ha subito un duro colpo annunciando di essere stata vittima di un cyberattacco. L'incidente ha compromesso i server che contenevano dati sensibili di abbonati e azionisti. In risposta, il club ha consigliato alle vittime di monitorare i vari account per individuare eventuali attività sospette. Ha poi istituito un canale di comunicazione via e-mail per fornire assistenza o chiarimenti.

Il Boca nel mirino

Il Club Atlético Boca Juniors di Buenos Aires, gode di fama mondiale. Notorietà che però non ha scoraggiato i criminali informatici dal prendere di mira il club, anzi. Il 16 settembre 2022, il club è stato vittima di un attacco che ne ha compromesso l’account ufficiale su YouTube. Gli aggressori hanno preso il controllo del canale e promosso Ethereum, una truffa di criptovaluta. Il Boca Juniors ha rilasciato una dichiarazione ufficiale rassicurando le parti interessate sulle azioni volte al ripristino del controllo dell'account compromesso. In poche ore il club ha ripristinato con successo la propria presenza online.

Un autogol?

Nell'aprile 2023, un attacco alla Royal Dutch Football Association (KNVB) ha portato al furto di dati riservati appartenenti a dipendenti e membri dell'organizzazione. L'incidente, attribuito al gruppo LockBit, è stato confermato dalla KNVB, organizzazione che raggruppa i campionati di calcio professionistici del Paese. La violazione ha colpito genitori di giocatori junior, giocatori internazionali, professionisti dal 2016 al 2018, contatti del centro medico sportivo della KNVB e persone coinvolte nelle questioni disciplinari dell'organizzazione dal 1999 al 2020.

Truffe a danno di tutti

Molte testimonianze dimostrano che anche i non atleti sono un bersaglio succulento per la criminalità informatica. Ad esempio, la Coppa del Mondo di calcio attira miliardi di spettatori e i truffatori la considerano un'ottima occasione per attirare nuove vittime. Queste truffe spesso inducono le persone a credere di aver vinto biglietti per l'evento o le indirizzano a siti web che distribuiscono malware sui loro dispositivi. In passato, abbiamo anche esaminato una campagna che ha ingannato utenti di WhatsApp offrendo loro maglie da calcio gratuite.

Conclusioni

Anche il settore dello sport professionistico è un'attrazione per i cyberattaccanti. Le storie che abbiamo evidenziato rappresentano solo una parte della miriade di tentativi quotidiani di intrusione informatica. È imperativo per l'industria sportiva premunirsi contro le minacce del mondo online, poiché i cyber-avversari non smetteranno di lanciare attacchi nuovi e sempre più complessi.