11 Ottobre 2020 - Tempo di lettura: 8 minuti
Tyler Technologies ha pagato un riscatto per una chiave di decrittazione per recuperare i file crittografati in un recente attacco ransomware.
Tyler Technologies afferma di essere la più grande azienda di software del Nord America dedicata al settore pubblico, con oltre $ 1,2 miliardi di entrate per il 2020 e 5.500 dipendenti.
Il 23 settembre, Tyler Technologies ha subito un attacco informatico da parte degli operatori di ransomware RansomExx, che erano anche responsabili dei recenti attacchi a Konica Minolta e IPG Photonics.
In risposta all'attacco, Tyler Technologies ha immediatamente disconnesso parti della propria rete per contenere la diffusione del ransomware e limitare l'esposizione dei propri clienti.
"Questa mattina presto, ci siamo resi conto che un intruso non autorizzato aveva interrotto l'accesso ad alcuni dei nostri sistemi interni. Dopo la scoperta e per eccesso di cautela, abbiamo chiuso i punti di accesso ai sistemi esterni e abbiamo immediatamente iniziato a indagare e risolvere il problema" Matt Bieri, CIO di Tyler Technologies, ha scritto via email ai clienti.
L'attacco ha causato un'interruzione significativa delle operazioni di Tyler Technologies, è stato contenuto a livello locale e non si è diffuso ai suoi clienti.
Fonti del settore pubblico hanno riferito che l'attacco ransomware ha avuto un grave impatto su Tyler Technologies e che la società si aspettava che ci sarebbero voluti trenta giorni per ripristinare completamente le operazioni.
Una fonte ha detto che Tyler Technologies ha pagato la richiesta di riscatto RansomExx per recuperare i dati crittografati.
Non è sconosciuto, tuttavia, quanto è stato pagato per ricevere una chiave di decrittazione.
Quando il ransomware ha crittografato i file di Tyler Technologies, hanno aggiunto un'estensione simile a ".tylertech911-f1e1a2ac".
Per dimostrare che il decryptor era valido, si è stati in grado di decrittografare i file crittografati [ 1 , 2 ] caricati su VirusTotal al momento dell'attacco ransomware.
Quando decrittografato, il file Arin.txt conteneva un elenco di intervalli IP utilizzati dall'azienda.
RansomExx è anche noto per rubare dati prima di crittografare i dispositivi su una rete. Gli operatori di ransomware minacciano quindi di rilasciare questi dati rubati a meno che una vittima non abbia pagato il riscatto.
Poiché molti distretti scolastici, sistemi giudiziari e governi locali e statali negli Stati Uniti sono clienti di Tyler Technologies, i rischi di fuga pubblica di informazioni sensibili e codice sorgente sono preoccupanti.
Questa preoccupazione potrebbe essere stata un fattore determinante nella decisione di pagare il riscatto.
Alla domanda sul decryptor, Tyler Technologies non ha contestato il pagamento del riscatto, ma ha detto a BleepingComputer che non potevano rivelare ulteriori informazioni in questo momento.
"Date le sensibilità intorno all'incidente e le nostre indagini su di esso, e la nostra cooperazione attiva con le forze dell'ordine, non siamo liberi di rivelare ulteriori dettagli in questo momento".