Tyler Technologies ha pagato una banda di ransomware per la chiave di decrittazione

Tyler Technologies ha pagato una banda di ransomware per la chiave di decrittazione

Tyler Technologies ha pagato un riscatto per una chiave di decrittazione per recuperare i file crittografati in un recente attacco ransomware.

Tyler Technologies afferma di essere la più grande azienda di software del Nord America dedicata al settore pubblico, con oltre $ 1,2 miliardi di entrate per il 2020 e 5.500 dipendenti.

Un attacco ransomware RansomExx

Il 23 settembre, Tyler Technologies ha subito un attacco informatico da parte degli operatori di ransomware RansomExx, che erano anche responsabili dei recenti attacchi a Konica Minolta e IPG Photonics.

In risposta all'attacco, Tyler Technologies ha immediatamente disconnesso parti della propria rete per contenere la diffusione del ransomware e limitare l'esposizione dei propri clienti.

"Questa mattina presto, ci siamo resi conto che un intruso non autorizzato aveva interrotto l'accesso ad alcuni dei nostri sistemi interni. Dopo la scoperta e per eccesso di cautela, abbiamo chiuso i punti di accesso ai sistemi esterni e abbiamo immediatamente iniziato a indagare e risolvere il problema" Matt Bieri, CIO di Tyler Technologies, ha scritto via email ai clienti.

L'attacco ha causato un'interruzione significativa delle operazioni di Tyler Technologies, è stato contenuto a livello locale e non si è diffuso ai suoi clienti.

Fonti del settore pubblico hanno riferito che l'attacco ransomware ha avuto un grave impatto su Tyler Technologies e che la società si aspettava che ci sarebbero voluti trenta giorni per ripristinare completamente le operazioni.

Ho pagato il riscatto per ottenere un decryptor

Una fonte ha detto che Tyler Technologies ha pagato la richiesta di riscatto RansomExx per recuperare i dati crittografati.

Non è sconosciuto, tuttavia, quanto è stato pagato per ricevere una chiave di decrittazione.

Quando il ransomware ha crittografato i file di Tyler Technologies, hanno aggiunto un'estensione simile a ".tylertech911-f1e1a2ac".

Per dimostrare che il decryptor era valido, si è stati in grado di decrittografare i file crittografati [ 1 , 2 ] caricati su VirusTotal al momento dell'attacco ransomware.

Quando decrittografato, il file Arin.txt conteneva un elenco di intervalli IP utilizzati dall'azienda.

RansomExx è anche noto per rubare dati prima di crittografare i dispositivi su una rete. Gli operatori di ransomware minacciano quindi di rilasciare questi dati rubati a meno che una vittima non abbia pagato il riscatto.

Poiché molti distretti scolastici, sistemi giudiziari e governi locali e statali negli Stati Uniti sono clienti di Tyler Technologies, i rischi di fuga pubblica di informazioni sensibili e codice sorgente sono preoccupanti.

Questa preoccupazione potrebbe essere stata un fattore determinante nella decisione di pagare il riscatto.

Alla domanda sul decryptor, Tyler Technologies non ha contestato il pagamento del riscatto, ma ha detto a BleepingComputer che non potevano rivelare ulteriori informazioni in questo momento.

"Date le sensibilità intorno all'incidente e le nostre indagini su di esso, e la nostra cooperazione attiva con le forze dell'ordine, non siamo liberi di rivelare ulteriori dettagli in questo momento".

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.