Canon colpita dall'attacco di Maze Ransomware, dati per 10 TB presumibilmente rubati

Canon colpita dall'attacco di Maze Ransomware, dati per 10 TB presumibilmente rubati

Aggiornamento all'articolo di ieri che sospettava il presunto attacco.

Canon ha subito un attacco di ransomware che incide su numerosi servizi, tra cui la posta elettronica di Canon, Microsoft Teams, il sito Web USA e altre applicazioni interne.

BleepingComputer ha monitorato un'interruzione sospetta del servizio di archiviazione di foto e video cloud di Canon image.canon con conseguente perdita di dati per gli utenti della loro funzione di archiviazione gratuita da 10 GB.

Il sito image.canon ha subito un'interruzione il 30 luglio 2020 e per sei giorni il sito avrebbe mostrato aggiornamenti di stato fino a quando non è tornato in servizio ieri, 4 agosto.

Tuttavia, l'aggiornamento dello stato finale è stato strano in quanto menziona che, mentre i dati venivano persi, "non vi era alcuna perdita di dati di immagine". Ciò ha portato BleepingComputer a credere che ci fosse di più nella storia e che abbiano subito un attacco informatico.

Canon soffre di attacchi ransomware

Oggi una fonte ha contattato BleepingComputer e ha condiviso l'immagine di una notifica a livello aziendale intitolata "Messaggio dal centro servizi IT" che è stata inviata questa mattina alle 6:00 circa dal dipartimento IT di Canon.

Questa notifica indica che Canon sta riscontrando "problemi di sistema diffusi che interessano più applicazioni, team, e-mail e altri sistemi potrebbero non essere disponibili al momento".

Come parte di questa interruzione, i siti Web di Canon USA stanno ora visualizzando errori di pagina non trovata quando vengono visitati.

L'elenco dei domini Canon che sembrano essere interessati da questa interruzione, includono:

www.canonusa.com
www.canonbroadcast.com
b2cweb.usa.canon.com
canondv.com
canobeam.com
canoneos.com
bjc8200.com
canonhdec.com
bjc8500.com
usa.canon.com
imagerunner.com
multispot.com
canoncamerashop.com
canoncctv.com
canonhelp.com
bjc-8500.com
canonbroadcast.com
imageland.net
consumer.usa.canon.com
bjc-8200.com
bjc3000.com
downloadlibrary.usa.canon.com
www.cusa.canon.com
www.canondv.com

Da allora, BleepingComputer ha ottenuto uno screenshot parziale della presunta nota di riscatto Canon, che siamo stati in grado di identificare dal ransomware Maze.

Maze afferma di aver rubato 10 TB di dati da Canon

Dopo aver contattato gli operatori di ransomware, Maze ha detto a BleepingComputer che il loro attacco è stato condotto questa mattina quando hanno rubato "10 terabyte di dati, database privati ​​ecc" come parte dell'attacco a Canon.

Maze ha rifiutato di condividere ulteriori informazioni sull'attacco, inclusi l'importo del riscatto, la prova dei dati rubati e la quantità di dispositivi crittografati. 

Mentre inizialmente pensavamo che l'interruzione di image.canon fosse correlata all'attacco di ransomware, Maze ci ha detto che non era causato da loro.

Maze è un ransomware gestito dall'azienda per uso umano che compromette e si diffonde furtivamente lateralmente attraverso una rete fino a quando non ottiene l'accesso a un account amministratore e al controller di dominio Windows del sistema.

Durante questo processo, Maze ruberà file non crittografati da server e backup e li caricherà sui server dell'attore.

Dopo aver raccolto la rete di qualsiasi cosa di valore e ottenuto l'accesso a un controller di dominio Windows, Maze distribuirà il ransomware in tutta la rete per crittografare tutti i dispositivi.

Se una vittima non paga il riscatto, Maze distribuirà pubblicamente i file rubati della vittima su un sito di perdita di dati che ha creato ad hoc.

Maze ha rivendicato la responsabilità di altre vittime di alto profilo in passato, tra cui LGXeroxConduentMaxLinearCognizantChubb,  VT San Antonio AerospaceCity of Pensacola, Florida e altro.

In una dichiarazione a BleepingComputer, Canon afferma che "stanno attualmente indagando sulla situazione".

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.