Il principale fornitore di video delivery negli Stati Uniti conferma l'attacco ransomware
10 Settembre 2020 - Tempo di lettura: 10 minuti
SeaChange International, un fornitore leader con sede negli Stati Uniti di soluzioni software per la consegna di video, ha confermato un attacco ransomware che ha interrotto le sue operazioni durante il primo trimestre del 2020.
La società è quotata al NASDAQ come SEAC e ha sedi in Polonia e Brasile. Il suo elenco di clienti include società di telecomunicazioni e operatori satellitari come BBC, Cox, Verizon, AT&T, Vodafone, Direct TV, Liberty Global e Dish Network Corporation.
SeaChange afferma inoltre che la sua piattaforma di distribuzione video Framework supporta attualmente centinaia di piattaforme TV e video on demand (VOD) on-premise e cloud live con oltre 50 milioni di abbonati in oltre 50 paesi.
L'attacco ransomware di aprile è ora confermato
L'attacco ai server di SeaChange inizia durante l'aprile 2020, quando una banda di ransomware ha pubblicato screenshot di file che affermavano di aver rubato dai server dell'azienda.
Tra questi screenshot, abbiamo trovato una lettera di presentazione con una proposta di servizio di video-on-demand del Pentagono.
Quando venne contattato il Dipartimento della Difesa degli Stati Uniti (DoD) per chiedere se fossero a conoscenza di una violazione di SeaChange, il DoD ha rifiutato di commentare dicendo che non condivide informazioni su potenziali intrusioni di rete o indagini correlate.
"In conformità con la politica, non avremo informazioni da fornire su possibili intrusioni di rete o indagini su possibili intrusioni di rete in reti DOD o appaltatrici", ha detto a BleepingComputer il portavoce del Dipartimento della Difesa, il tenente colonnello Robert Carver.
BleepingComputer ha anche contattato SeaChange più volte per scoprire se erano a conoscenza delle affermazioni del gruppo ransomware, ma non hanno avuto risposta.
Tuttavia, oggi SeaChange ha finalmente confermato l'attacco ransomware in un rapporto trimestrale 10-Q presentato alla US Securities and Exchange Commission (SEC).
"Nel primo trimestre dell'anno fiscale 2021 [sic], abbiamo subito un attacco ransomware al nostro sistema informatico", ha riferito la società.
"Sebbene tale attacco non abbia avuto un effetto negativo sostanziale sulla nostra attività aziendale, ha causato un'interruzione temporanea. È in corso un'indagine forense per determinare se i dati sono stati compromessi".
Attacco rivendicato dalla banda di ransomware REvil
Come riportato in precedenza, l'attacco ransomware SeaChange riconosciuto dalla società oggi è stato rivendicato all'epoca dal gruppo ransomware REvil (noto anche come Sodinokibi).
Hanno creato una nuova pagina vittima per SeaChange, che è stata utilizzata per pubblicare istantanee di documenti che gli operatori di REvil hanno detto essere durante l'attacco.
REvil è un'operazione di ransomware-as-a-service (RaaS) nota per aver violato le reti aziendali utilizzando servizi di desktop remoto esposti, exploit, spam, nonché tramite fornitori di servizi gestiti compromessi.
Sebbene i dettagli sull'attacco a SeaChange siano scarsi, la società di intelligence sulle minacce informatiche Bad Packets ha scoperto che la società utilizzava un server Pulse Secure VPN senza patch contro la vulnerabilità CVE-2019-11510 prima di essere colpita dal ransomware.
Dopo aver ottenuto l'accesso alla rete di un'azienda mirata, gli operatori di REvil si sono diffusi lateralmente mentre rubavano dati sensibili da server e workstation da utilizzare come leva per convincere la vittima a pagare il riscatto sotto la minaccia di divulgare pubblicamente tutte le informazioni rubate.
Successivamente hanno crittografato tutti i dispositivi sulla rete compromessa dell'azienda dopo aver ottenuto l'accesso amministrativo a un controller di dominio.
Brown-Forman è una delle ultime vittime di REvil, una società che possiede i famosi marchi di whisky Jack Daniel's e Finlandia vodka.
