Il gigante della vendita di elettrodomestici ed elettronica MediaMarkt, in Italia meglio conosciuto come MediaWorld, ha subito un cyber attacco ad opera del ransomware Hive: il riscatto iniziale ammonta a 240 milioni di dollari. L'attacco ha costretto la compagnia allo shut down dei sistemi IT e l'interruzione di una parte delle operazioni di vendita sia in Germania che in Olanda. Parliamo del più grande rivenditore di elettronica al dettagli in Europa, oltre 1000 store in 13 diverse nazioni, un fatturato di 20,8 miliardi di euro e oltre 53000 dipendenti.
L'attacco ransomware è iniziato Domenica sera e si è concluso Lunedì mattina ed ha comportato la criptazione di server e workstation e obbligato l'azienda all'arresto dei sistemi IT per impedire l'ulteriore diffusione dell'attacco. L'attacco ha fatto sentire i suoi effetti in molti store, principalmente un quelli olandesi. Nonostante le vendite online continuino a funzionare come previsto, negli store fisici non è possibile pagare con carta di credito né stampare ricevute. Sospesa anche la gestione dei resi: gli store non hanno più accesso alle liste degli acquisti. Inoltre, stando a quanto riportato dai media locali, l'azienda ha invitato i dipendenti a non utilizzare né tentare di riavviare i sistemi criptati e disconnettere i registratori di cassa dalla rete aziendale.
L'attacco è stato confermato dopo poche ore:
"Il MediaMarktSaturn Retail Group e le proprie organizzazioni nazionali sono state vittime di un cyberattacco. La compagnia ha immediatamente informato le autorità e sta lavorando più velocemente possibile per individuare i sistemi infetti e ripristinare qualsiasi danno subito. Nei negozi fisici alcuni servizi potrebbero essere attualmente limitati. MediaMarktSaturn resta disponibile per i propri clienti attraverso tutti i canali di vendita e sta lavorando intensamente per garantire che tutti i servizi siano disponibili senza restrizioni prima possibile".Non si hanno notizie di eventuali effetti che si siano diffusi anche in Italia: non sembrano esserci state interruzione nei negozi MediaWorld, la branca italiana di MediaMarkt. Questo nonostante si parli, riferiscono fonti interne, di 3100 server criptati dal ransomware.
Attualmente sono in corso trattative sull'ammontare del riscatto, che sarebbe già stato ridotto a 50 milioni di dollari in criptovalue.
Il ransomware Hive: qualche info tecnica
Hive è un ransomware relativamente nuovo: le sue operazioni sono iniziate nel Giugno 2021 e si è fatto conoscere come ransomware prettamente "aziendale" che si diffonde principalmente tramite campagne di phishing recanti il payload di un malware per l'accesso remoto. Una volta ottenuto l'accesso alla rete, gli attaccanti tentano di diffondersi nella rete tramite movimenti laterali iniziando fin da subito l'esfiltrazione a fini estorsivi di tutti i dati sui quali riescono a mettere le mani. Ottenuto l'accesso amministratore sul domain controller di Windows, distribuiscono il ransomware a tutti i dispositivi che risultano collegati alla rete.
Una delle specialità di Hive è quella di cercare e cancellare qualsiasi backup riescano a intercettare e sono riusciti in alcuni casi a impedire il ripristino dei dati ad aziende che si erano dotati preventivamente di strumenti di backup.
Tra le altre cose, Hive ha una variante capace di diffondersi e criptare sistemi Linux: in dettaglio questa versione cripta i server Linux e FreeBSD, comunemente usati per ospitare virtual machine.
 |
| Il sito di leak del ransomware Hive |
 |
| La nota di riscatto di Hive |
Nessun commento:
Posta un commento