Attacco ransomware a Microgame. Dati rubati e servizi sospesi nelle piattaforme di gioco online

Attacco ransomware a Microgame: dati esfiltrati, piattaforme sospese e 5 GB pubblicati online. Scopri cosa è successo.

Il gioco d’azzardo online è tra i settori più redditizzi in Italia, secondo solo al Regno Unito. Secondo i dati ADM, nel 2022 il mercato online ha generato circa 73 miliardi di euro e nel 2024 ha registrato una crescita del 10%. Le piattaforme di gioco online raccolgono una grande quantità di dati personali degli utenti registrati, tra cui informazioni di contatto e dati di pagamento.

Molti fornitori erogano la stessa infrastruttura tecnica a più brand, adottando un modello centralizzato che, se compromesso, può amplificare notevolmente l’impatto di un attacco informatico. Non sorprende quindi che queste piattaforme siano un bersaglio frequente per cybercriminali, specialmente in data breach o campagne ransomware.

Dinamica e impatto dell’attacco
Il gruppo Play Ransomware e l’attacco a Microgame
Contromisure adottate da Microgame
Prevenzione e difesa

attacco ransomware microgame gioco online image

Tra i casi più eclatanti spicca il caso di Microgame S.p.A., azienda attiva dal 1996 e provider per numerosi operatori del gioco online in Italia. L’azienda è stata colpita da un attacco ransomware che ha causato l’esfiltrazione di una grande quantità di dati sensibili e l’interruzione temporanea dei suoi servizi.

In questo articolo analizzeremo i dettagli dell’attacco, l’identità degli aggressori, le conseguenze per gli utenti e i provvedimenti adottati da Microgame e dalle autorità competenti.

Dinamica e impatto dell’attacco

L’attacco ransomware a Microgame S.p.A. è avvenuto tra l’8 e il 10 febbraio 2023, provocando la sospensione dei servizi su diverse piattaforme di gioco online che si appoggiano alla sua infrastruttura, quali poker, casinò e scommesse sportive. Tra i principali brand coinvolti figurano:

GoldBet;
DomusBet;
Replatz;
SportPesa;
BetFlag;
AdmiralYES;
Betaland;

Secondo le informazioni emerse, i dati di circa 7000 utenti, tra dipendenti e giocatori, sono stati cifrati e successivamente pubblicati nel dark web. Tra le informazioni compromesse risultano:

Dati anagrafici e di contatto;
Codice fiscale;
Informazioni sui prelievi effettuati;
Saldi dei conti di gioco;
Copie di documenti di identità;
Dati relativi a carte di credito.

L’interruzione dei servizi ha impattato direttamente anche sui partner commerciali di Microgame, i quali hanno espresso forte preoccupazione per le conseguenze economiche. Alcuni operatori si sarebbero rivolti direttamente ai propri uffici legali, per valutare possibili azioni risarcitorie nei confronti della società. Alcuni esperti di cybersecurity hanno ipotizzato un possibile collegamento con la campagna ransomware ESXiArgs, che ha colpito centinaia di hypervisor VMware ESXi in tutto il mondo tra il 6 e l’8 febbraio 2023.

Il gruppo Play Ransomware e l’attacco a Microgame

Le indagini condotte nei giorni successivi all’incidente hanno permesso di attribuire l’attacco al gruppo Play Ransomware, una delle cybergang più attive degli ultimi anni. Operativa da giugno 2022 ha colpito attivamente numerose aziende ed enti governativi a livello internazionale, tra cui:

La contea di Dallas (Texas, USA);
Xplain, fornitore IT della Pubblica Amminstrazione svizzera;
La città di Oakland (California, USA).

Play Ransomware è noto per sfruttare vulnerabilità in Remote Desktop Protocol (RDP), reti VPN malconfigurate e credenziali di accesso rubate per l’accesso iniziale ai sistemi. Come altre cybergang e collettivi cybercriminali, il gruppo adotta la tattica della doppia estorsione. I dati vengono prima cifrati, poi esfiltrati per essere usati come leva. Se il riscatto non viene pagato, il gruppo minaccia di pubblicare i dati online.

Nel caso di Microgame, il 15 febbraio 2023 i cybercriminali hanno pubblicato sul proprio Data Leak Site circa 5 GB di dati sensibili, presumibilmente a seguito del mancato pagamento del riscatto.

Contromisure adottata da Microgame

Microgame ha dichiarato di aver adottato tempestivamente una serie di interventi di sicurezza per contenere i danni dell’attacco ransomware e ripristinare i propri servizi in tempi brevi, tutelando così i dati dei partner e degli utenti.

Dopo aver isolato i sistemi compromessi, l’azienda ha attivato il proprio piano di incident response, coinvolgendo un SOC esterno per le attività di analisi e ripristino. Microgame ha inoltre notificato la violazione al Garante per la protezione dei dati personali, come previsto dall’art. 33 del GDPR, e ha comunicato l’incidente ai partner interessati.

I servizi di gioco online sono stati ripristinati nel corso della settimana successiva all’attacco. L’azienda ha anche annunciato il rafforzamento delle misure di sicurezza e ha assicurato che i dati legati ai saldi dei conti di gioco e alla transazioni sono rimasti al sicuro. Come gesto di fiducia verso gli utenti, ha promesso anche l’erogazione di bonus al ritorno online dei servizi. Il Garante ha riconosciuto la tempestività e l’adeguatezza delle azioni intraprese, archiviando il procedimento nel maggio 2024.

Prevenzione e difesa

Questa vicenda dimostra ancora una volta quanto data breach e ransomware siano un pericolo serio per le aziende, soprattutto quelle che gestiscono dati sensibili. Un attacco andato a segno può infatti causare danni economici, legali e reputazionali. Pertanto, sono necessari maggiori investimenti in cybersecurity da parte di aziende e imprese per prevenire queste minacce. Inoltre, si raccomanda anche di applicare le seguenti best practices di sicurezza.

Utilizzare password robuste per i propri account.
Si consiglia, in particolare, di creare password lunghe e composte da lettere, numeri e caratteri speciali.
Implementare l’autenticazione a due fattori (2FA).
Questa funzionalità aggiunge un ulteriore protezione ai propri account, richiedendo una verifica extra (un SMS o un codice generato da un’app) oltre alla password
Controllare regolarmente il proprio conto bancario.
In questo modo è possibile individuare tempestivamente movimenti sospetti.
Aggiornare regolarmente programmi e sistemi.
Gli aggiornamenti contengono spesso patch di sicurezza che vanno a correggere vulnerabilità note sfruttabili per lanciare attacchi informatici.
Applicare il principio del privilegio minimo in ambito aziendale.
In questo modo si riduce la superficie di attacco in caso di accesso non autorizzato.
Implementare soluzioni di Intrusion Prevention System (IPS) ed Extended Detection and Response (XDR).
Questi strumenti consentono di monitorare i sistemi digitali rilevando e bloccando potenziali minacce.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.