L’attacco informatico subito dall’agenzia europea del farmaco il 9 dicembre sta mostrando le prime conseguenze: il team di cyberintelligence di Yarix, linea di business Digital Security di Var Group, ha infatti rinvenuto sl dark web un leak da oltre 33 Megabyte, 5 cartelle e 50 file di informazioni classificate sull’iter autorizzativo e commerciale del vaccino Pfizer-BioNTech (BNT162b2) in capo ad Ema. Proprio da questa scoperta di Yarix ha preso avvio l’indagine su cui sta lavorando la Polizia Postale.
“I nostri esperti di cyber intelligence sono infiltrati, ormai da mesi, all’interno dei forum underground più frequentati, nel dark web, da hacker e personaggi della cybercriminalità internazionale. È grazie a questo delicato lavoro ‘sotto copertura’ e a competenze investigative ultra specialistiche, fiore all’occhiello per il nostro Paese, che è stato possibile scoprire il leak Ema/Pfizer: immediatamente abbiamo denunciato l’accaduto alla Polizia Postale, con cui abbiamo da tempo un accordo di collaborazione – commenta Mirko Gatto, Ceo di Yarix – Il ritrovamento ci dice molto della capacità delle cyber gang di infiltrarsi nelle organizzazioni pubbliche e private, al cuore di processi decisionali strategici. Il dark web diventa, così, lo spazio della ritorsione e del ricatto, in cui rendere pubblici dati sensibili che gli hacker non siano riusciti a farsi remunerare dalle proprie vittime o in cui riversare informazioni capaci di distruggere reputazione e sicurezza. Un territorio da conoscere e presidiare, con risorse e uomini addestrati a misurarsi con questo contesto di frontiera”.
La scoperta è avvenuto attraverso un noto forum underground: l’autore del post contenente il leak sul vaccino contro il Covid-19 – spiega Yarix – avrebbe creato il proprio profilo appositamente per caricare le informazioni rubate, cessando successivamente ogni attività. Il post, intitolato “Astonishing fraud! Evil Pfffizer! Fake vaccines!” è del 30 dicembre 2020, alle 19:30, ed è stato in un secondo momento rimosso dagli amministratori. Metteva a disposizione degli utenti che lo avessero aperto il link per scaricare il leak, che ora non è più disponibile, rimandando a un thread postato in un altro forum, questa volta in lingua russa, che risultarebbe essere quello originale, dal momento che la sua pubblicazione risale alle 15:25 del 30 dicembre. “Ad oggi il post originale, dapprima rimosso – spuiega Yarix in una nota – risulta nuovamente disponibile sul dark web ed aggiornato con nuovi link di condivisione e file consultabili.
L’analisi dei documenti “ha rivelato la presenza di estratti di conversazioni confidenziali fra il personale Ema e membri della Commissione Europea, relativamente al processo di produzione, validazione e commercializzazione del vaccino”. Tra i materiali esfiltrati dagli hacker anche alcuni screenshot e documenti PDF che rimandano al portale Eudralink, utilizzato internamente all’EMA per le comunicazioni sicure e riservato al solo personale autorizzato. “Non sussistono elementi certi che consentano di confermare che i dati recuperati siano solo una parte del Leak o se effettivamente includano tutti i dati sottratti nel breach. Certa è, invece – conclude Yarix – l’intenzione che il leak sottende da parte dei cybercriminali: quella di arrecare un importante danno di reputazione e credibilità a EMA e Pfizer”.