Il gigante IT francese Sopra Steria colpito dal ransomware Ryuk

Il gigante IT francese Sopra Steria colpito dal ransomware Ryuk

Il 20 ottobre 2020, il gigante francese dei servizi IT Sopra Steria ha subito un attacco informatico che, secondo quanto riferito, ha crittografato parti della sua rete con il ransomware Ryuk.

Sopra Steria è un'azienda europea di tecnologia dell'informazione con 46.000 dipendenti in 25 paesi in tutto il mondo. L'azienda fornisce un'ampia gamma di servizi IT, tra cui consulenza, integrazione di sistemi e sviluppo software.

Il 21 ottobre Sopra Steria ha comunicato di aver subito un attacco informatico la sera del 20 ottobre, ma ha fornito pochi dettagli sull'attacco.

"La sera del 20 ottobre è stato rilevato un attacco informatico alla rete informatica di Sopra Steria. Sono state implementate misure di sicurezza per contenere i rischi. I team del Gruppo stanno lavorando duramente per un ritorno alla normalità il più rapidamente possibile ed è stato fatto ogni sforzo per garantire la continuità aziendale. Sopra Steria è in stretto contatto con i propri clienti e partner, nonché con le autorità competenti".

Segnalato attacco ransomware Ryuk

Una fonte familiare con l'attacco ha detto a BleepingComputer che la rete Sopra Steria è stata crittografata da Ryuk ransomware, lo stesso gruppo che ha infettato i servizi sanitari universali.

Numerose fonti hanno anche riferito al sito web IT francese LeMagIT che dietro l'attacco c'erano gli autori di Ryuk ransomware.

Questo gruppo di hacker è noto per le sue infezioni TrickBotBazarLoader che consentono agli autori di accedere a una rete compromessa e distribuire le infezioni ransomware Ryuk o Conti.

BazarLoader viene sempre più utilizzato negli attacchi Ryuk contro obiettivi di alto valore a causa della sua natura furtiva ed è meno rilevato di TrickBot dal software di sicurezza.

Una volta installato, BazarLoader consentirà agli autori delle minacce di accedere da remoto al computer della vittima e utilizzarlo per compromettere il resto della rete.

Dopo aver ottenuto l'accesso a un controller di dominio Windows, gli aggressori distribuiscono il ransomware Ryuk sulla rete per crittografare tutti i suoi dispositivi, come illustrato nel diagramma sopra.

Per il momento sembra che Sopra Steria, come da loro comunicato, "non abbia ulteriori dettagli da condividere".

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.