Hanno imposto una scadenza precisa e, dopo che nessun riscatto è stato pagato in tempo, i cyber attaccanti dietro il ransomware Maze hanno pubblicato oltre 700 MB di dati e file rubati all'azienda specializzata in servizi e sicurezza Allied Universal. I ricercatori di Bleeping Computer, contattati dagli attori di Maze, hanno fatto sapere che quei 700 MB non coprono neppure il 10% del numero complessivo di dati rubati.
E' una brutta storia, da raccontare, dicono da Bleeping Computer, perché dà un insegnamento chiaro: in caso di infezione ransomware non basta più preoccuparsi su come riportare in chiaro i file criptati, ma occorre anche preoccuparsi di quale fine possono fare i dati rubati.
In breve: Maze
Di questo ransomware abbiamo parlato recentemente, perché è già stato diffuso in Italia, tra l'altro piuttosto recentemente. Nell'ultima settimana di ottobre infatti è stato distribuito in una campagna di email di spam (ne abbiamo parlato qui) che simulava comunicazioni ufficiali dell'Agenzia delle Entrare rivolte ad aziende.
L'attacco a Allied Universal - le email a Lawrance Abrams
I cyberattaccanti responsabili di Maze hanno inviato lo scorso venerdì una email a Lawrence Abrams, uno dei collaboratori di Bleeping Computer: l'email, firmata "maze Crew" raccontava come il gruppo fosse riuscito ad irrompere nella rete di una grandissima azienda di sicurezza chiamata Allied Universal, che conta oltre 200.000 dipendenti e che registra profitti per 7 miliardi di dollari: parliamo della più grande azienda di sicurezza statunitense.
La particolarità è che l'email stessa fa parte del ricatto: i cyber attaccanti spiegano infatti che l'azienda si è rifiutata di pagare il riscatto entro la scadenza fissata, quindi la pubblicazione di parte dei dati sottratti e la comunicazione a Bleeping Computer perché la notizia divenisse pubblica sono stati parte integrante del piano di ricatto. Inutile dire infatti quanto sia imbarazzante, per una gigantesca azienda di sicurezza, subire un breach di questo livello. L'email conteneva perfino alcuni file rubati all'azienda.
Fonte: bleepingcomputer.com |
Nel proseguo della conversazione, è stato rivelato anche l'ammontare del riscatto: 300 bitcoin, ovvero 2.3 milioni di dollari USA per decriptare l'intera rete. La crew di Maze ha ribadito che è parte integrante del loro metodo di "lavoro" quello di esfiltrare o rubare i file delle vittime così da avere, appunto, ulteriori strumenti di ricatto. Dalla redazione di Bleeping è, ovviamente, stata inviata immediata segnalazione all'azienda, la quale però, dopo aver annunciato indagini in corso e misure straordinarie di pronto intervento, si è poi chiusa in un ferreo "non rilasceremo ulteriori dichiarazioni".
Due giorni la prima email, gli attaccanti hanno confermato di avere ancora accesso alla rete e, per dimostrarlo, hanno pubblicato una lista di file associati al protocollo TLS e i certificati di firma delle email.
I file rubati pubblicati online
Scaduta l'ultimatum, gli attori di Maze hanno pubblicato sul forum di BleepingComputer una breve descrizione del breach e un link puntato su almeno 700 MB di file rubati: la redazione ha deciso di eliminare il post dal forum.
Poche ore dopo, l'ennesima email a Abrams contiene il link al post di un forum di hacking e malware russo contenente, a sua volta, le stesse informazioni già inviate a Bleeping Computer, ma con un'aggiunta: un aumento del riscatto a 3.8 milioni di dollari e la minaccia di invio dei dati rubati a WikiLeaks. Nel post viene anche indicato il totale dei dati esfiltrati, 5 GB, mentre si indicano in "centinaia" i sistemi criptati. Il post definisce anche "stupida" la decisione di Allied Universal di non pagare il riscatto, dato che l'ammontare dello stesso sarebbe "un nulla" rispetto al danno reputazionale e a quello sulla sicurezza aziendale. Ma l'azienda ha ribadito più volte agli attaccanti che non pagherà nessun riscatto superiore ai 50.000 dollari. L'ultimatum scadrà domani.
Non è affatto una novità che gli sviluppatori dei ransomware minaccino le vittime di pubblicare una parte dei file rubati durante l'attacco nel caso in cui il riscatto non venga pagato. E' però la prima volta che questa operazione viene compiuta realmente e in una maniera così plateale, coinvolgendo (volenti o nolenti) anche testate giornalistiche e di approfondimento di settore. Un meccanismo tale obbliga le vittime a ponderare realmente cosa convenga di più, se cedere e pagare il riscatto, o subire costi potenziali dovuti alla pubblicazione di informazioni riservate su dipendenti e segreti aziendali, oltre all'evidente danno reputazionale.
Un incidente di tale livello comporta un forte aumento dei costi, in termini di gestione della violazione (prima di tutto dei necessari e urgenti tentativi di escludere gli attaccanti dalla rete aziendale), ma anche l'assunzione di legali per cause che clienti e partner dovessero intentare per il breach e leak dei dati.
Aggiorneremo sulla vicenda: è questo un episodio cruciale che potrebbe segnare una radicale svolta nel modello di attacco dei ransomware.
Nessun commento:
Posta un commento