REvil ransomware infetta 18.000 computer di Telecom Argentina e chiede 7,5 milioni di dollari come riscatto

REvil ransomware infetta 18.000 computer di Telecom Argentina e chiede 7,5 milioni di dollari come riscatto

Gli incidenti con ransomware continuano ad apparire con una frequenza sorprendente in tutto il mondo. Gli esperti riportano che Telecom, il più grande fornitore di servizi Internet in Argentina, è stato vittima di un'infezione da malware di crittografia; gli aggressori apparentemente richiedono un riscatto di 7,5 milioni di dollari per ripristinare l'accesso ai file compromessi.

Reporter vicini all'azienda affermano che i criminali hanno causato gravi danni alle reti di Telecom, trovando un percorso attraverso un amministratore di dominio interno, da cui il malware è stato diffuso al resto dell'infrastruttura informatica dell'azienda. Alcuni domini di proprietà di Telecom sono stati offline dall'ultimo fine settimana, sebbene gli utenti dell'azienda non siano stati interessati.

Alcuni dipendenti dell'azienda hanno rivelato dettagli sull'attacco dei social media. Gli investigatori ritengono che l'incidente sia stato immediatamente rilevato dal team IT dell'azienda, avvisando i dipendenti di attività dannose e fornendo alcune raccomandazioni sulla sicurezza. 

Per quanto riguarda gli autori, l'attacco è stato attribuito al gruppo di hacking REvil (noto anche come Sodinokibi). Apparentemente, gli hacker hanno già rivelato l'incidente sulla loro piattaforma web oscura, dove hanno pubblicato alcune delle informazioni compromesse. Gli hacker richiedono un riscatto di 109345 unità di criptovaluta Monero, che equivale a $ 7,5 milioni di dollari, uno dei maggiori incidenti di hacking registrati in Sud America.

Finora, la società non ha commentato l'incidente. Tuttavia, gli informatori affermano che la società attribuisce l'ingresso dell'infezione a un'e-mail malevola ricevuta da uno dei suoi dipendenti, anche se gli specialisti sottolineano che questo attacco non è conforme alla modalità di funzionamento del gruppo REvil.

I ricercatori e le società di sicurezza che hanno analizzato gli attacchi perpetrati da questo gruppo di hacking concordano sul fatto che REvil è specializzato in infezioni basate sulla rete, alla ricerca di macchine senza aggiornamenti da diffondere nelle reti interessate.

Bad Packets, società di cibersicurezza, ritiene che gli hacker avrebbero eseguito server Citrix VPN, oltre a un'istanza vulnerabile allo sfruttamento di CVE-2019-19781. Altri ricercatori ritengono che anche due difetti in un prodotto antivirus possano essere correlati all'attacco.  

Questo è anche il secondo attacco di banda REvil contro la rete di un provider di servizi Internet. La banda REvil ha inoltre attaccato di recente Sri Lanka Telecom, il più grande fornitore di telefonia fissa nel paese asiatico.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.