giovedì 2 luglio 2020

Big sotto attacco: LG e Xerox colpite dal ransomware Maze si chiudono in silenzio stampa


Due settimane fa era toccato a grandi aziende italiane, Enel e Geox: se nel primo caso i sistemi di protezione hanno retto bloccando l'infezione, nel caso di Geox invece l'azienda ha dovuto subito un lungo stop per il ripristino dei sistemi. Gli attacchi ransomware però non si sono fermati, anzi: i ransomware confermano il cambio di strategia (non più piccoli utenti home, ma PMI e grandi aziende). Si confermano anche gli attori: se in Italia la fa da padrone il ransomware Snake, nel resto del mondo, sopratutto negli Usa, è Maze il vero mattatore

In pochissimi giorni ci sono stati due nuovi casi eclatanti, da una parte Xerox, la notissima azienda produttrice di fotocopiatrici e stampanti, dall'altra LG Electronics, ramo che produce elettrodomestici della corporation LG Group: in entrambi i casi il ransomware utilizzato è stato Maze. 

1. Maze vs Xerox Corporation
Gli operatori di Maze hanno aggiornato la lista delle proprie vittime, annunciando pubblicamente di aver completato la routine di criptazione dei sistemi della Zerox Corporation il 25 Giugno. L'azienda non ha ancora commentato il cyber attacco contro la propria rete, ma gli attaccanti hanno pubblicato screenshot che dimostrano incontrovertibilmente come l'attacco sia riuscito su almeno uno dei domini Xerox. Parliamo di un'azienda presente in 160 paesi, con un fatturato di 1.8 miliardi nel 1° Trimestre del 2020 e 27.000 dipendenti in giro per il mondo.

Senza commenti da parte dell'azienda, ci sono solo le informazioni pubblicate sul proprio sito di leak dagli attaccanti: oltre a pubblicare le prove della violazione e della criptazione dei sistemi, gli attori di Maze fanno sapere di aver rubato oltre 100 GB di file e di essere pronti a renderli pubblici se l'azienda non si impegna celermente ad aprire delle trattative per il pagamento del riscatto. "Dopo il pagamento i dati saranno rimossi dai nostri archivi e l'azienda riceverà il nostro decryptor, così potrà tornare in possesso dei propri file" spiegano gli attaccanti. 

Tra gli screenshot pubblicati, uno mostra come siano stati compromessi i sistemi su eu.xerox.net, provando la compromissione della filiale europea di Xerox: non è dato sapere se siano stati colpiti anche altri domini. 

Fonte: https://www.bleepingcomputer.com/

Un secondo screenshot, pubblicato pochi giorni dopo, mostra un desktop con il noto marchio bene in mostra e la nota di riscatto. 

Fonte: https://www.bleepingcomputer.com/

2. Maze vs LG Electronics
Anche in questo caso non si hanno notizie da parte dell'azienda: nel sito di leak di Maze, gli attaccanti spiegano di aver sottratto informazioni molto importanti di proprietà dell'azienda, riguardanti grossi progetti che riguardano compagnie statunitensi. Tra i dati sottratti ci sarebbe del codice sorgente: gli attaccanti parlano di 40GB di codice sorgente in Python sottratto dalla LG Developments e destinato  a importanti compagnie statunitensi. Non è dato sapere quanti dispositivi siano stati criptati: gli operatori di Maze hanno dichiarato che sono informazioni riservate che verranno fornite solo ai negoziatori scelti dall'azienda. 

Il 24 Giugno escono ulteriori dati sul sito di leak, in dettaglio una lista di file da una repository di codice Python: probabilmente un segno che l'azienda non sia disposta a contrattare con gli attaccanti.

Fonte: https://www.bleepingcomputer.com/


Un altro screenshot mostra un archivio in formato .KDZ, che il formato per il codice ufficiale dei firmware di LG. 

Fonte: https://www.bleepingcomputer.com/

Sicuramente quindi ci sono le prove dell'avvenuto accesso nel dominio lgepartner.com, registrato e gestito da LG Electronics. Bleeping Computer fa sapere che potrebbe essere stato compromesso anche il sistema di comunicazione email aziendale, dato che, inviate email per richiedere commenti sull'accaduto ai contatti indicati per la stampa e le comunicazioni aziendali, la redazione ha ricevuto messaggi di errore indicanti che l'utente destinatario non esiste. 

In entrambi i casi non è conosciuta la modalità di accesso alle reti: considerando il modus operandi di Maze, è probabile che l'irruzione nella rete sia avvenuta tramite connessioni di desktop remote esposte o accedendo ad host di valore tramite account Domain Administrator compromessi.

Nessun commento:

Posta un commento