Il gigante della produzione di personal computer e desktop Acer è stata colpita da un attacco ransomware: gli attori del gruppo ransomware REvil sono riusciti a fare breccia nelle cyber difese aziendali e a richiedere il più alto riscatto mai richiesto nella storia dei ransomware, pari a 50 milioni di dollari. Acer è la famosa produttrice di computer e articoli di elettronica, con sede a Taiwan: ha circa 7.000 dipendenti e ha registrato profitti per 7.8 miliardi di dollari nel 2019.
Qualche giorno fa è stato il gruppo ransomware stesso a dare notizia dell'attacco, pubblicando sul proprio sito di leak alcune immagini come prova dell'accesso riuscito alla rete e annunciando pubblicamente la propria operazione ransomware. Nelle immagini pubblicate si vedono documenti che includono bilanci bancari, comunicazioni bancarie e fogli di calcolo finanziari.
Da parte di Acer non c'è ancora stata una comunicazione chiara sull'accaduto e l'azienda ha eluso anche le domande dei giornalisti di testate specializzate e di settore. Ad ora quindi l'unica voce esistente sull'evento è quella dei cyber attaccanti.
La più alta richiesta di riscatto della storia dei ransomware
Questa storia è destinata a fare scalpore non solo per l'alto profilo dell'azienda vittima ma anche per l'ammontare del riscatto richiesto dagli estorsori. Il ricercatore Valery Marchive di LegMagIT è riuscito a mettere le mani sulla nota di riscatto usata dagli attaccanti ed è qui che si legge l'ammontare: 214.151 Monero, ovvero 50 milioni di dollari USA che raddoppieranno se l'azienda non dovesse pagare entro il 28 Marzo. Ma i "generosi" attaccanti hanno offerto uno sconto del 20% nel caso in cui il riscatto venga pagato entro Mercoledì: in cambio il gruppo REvil promette un decryptor, un report delle vulnerabilità e la cancellazione dei file rubati.
Fonte: Valery Marchive |
Lo stesso ricercatore ha avuto accesso al primo contatto tra un rappresentante di del gruppo REvil e uno di Acer: nella chat è evidente lo sgomento del rappresentante di Acer di fronte all'immane richiesta di riscatto. Poco dopo, il rappresentate di REvil ha condiviso nella chat di supporto il link alla pagina di leak di Acer, che attualmente risulta nascosta, probabilmente in seguito all'avvio delle trattative. La chat si conclude con un criptico avvertimento ad Acer: "non ripetete la sorte di SolarWind".
Sfruttate le vulnerabilità di Microsoft Exchange?
Giusto qualche giorno fa abbiamo parlato di ProxyLogon, l'insieme di 4 vulnerabilità di Microsoft Exchange Server che è stato sfruttato prima in un attacco state-sponsored contro aziende ed enti negli Stati Uniti, quindi in attacchi ransomware (di ieri la notizia che la lista dei ransomware che stanno sfruttando PorxyLogon si è allungata con il neoarrivato BlackKingdom). Il ricercatore di sicurezza Vitali Kremez ha fatto sapere che la piattaforma di cyber intelligence Andariel di Intel ha recentemente rilevato alcuni attacchi da parte del gruppo REvil contro un server Microsoft Exchange del dominio Acer. La foto sottostante, pubblicata da Kremez, mostra il feed nel quale è stato registrato l'attacco al server Acer. Probabilmente è stato proprio l'uso di ProxyLogon a garantire agli attaccanti l'accesso ai sistemi Acer.
Ricordiamo che Microsoft ha già patchato le vulnerabilità di ProxyLogon: rimandiamo alla pagina di Microsoft con le specifiche sulla problematica, raccomandando un celere update. La buona notizia è che Microsoft ha annunciato stamattina che Windows Defender applicherà automaticamente le patch per ProxyLogon: una scelta giusta, ma anche dovuta al ritardo cronico con cui gli utenti eseguono gli aggiornamenti critici.
Nessun commento:
Posta un commento