Cover Image

REvil ransomware infetta 18.000 computer di Telecom Argentina e chiede 7,5 milioni di dollari come riscatto

20 Luglio 2020 - Tempo di lettura: 5 minuti

Gli incidenti con ransomware continuano ad apparire con una frequenza sorprendente in tutto il mondo. Gli esperti riportano che Telecom, il più grande fornitore di servizi Internet in Argentina, è stato vittima di un'infezione da malware di crittografia; gli aggressori apparentemente richiedono un riscatto di 7,5 milioni di dollari per ripristinare l'accesso ai file compromessi.

Reporter vicini all'azienda affermano che i criminali hanno causato gravi danni alle reti di Telecom, trovando un percorso attraverso un amministratore di dominio interno, da cui il malware è stato diffuso al resto dell'infrastruttura informatica dell'azienda. Alcuni domini di proprietà di Telecom sono stati offline dall'ultimo fine settimana, sebbene gli utenti dell'azienda non siano stati interessati.

Alcuni dipendenti dell'azienda hanno rivelato dettagli sull'attacco dei social media. Gli investigatori ritengono che l'incidente sia stato immediatamente rilevato dal team IT dell'azienda, avvisando i dipendenti di attività dannose e fornendo alcune raccomandazioni sulla sicurezza. 

Per quanto riguarda gli autori, l'attacco è stato attribuito al gruppo di hacking REvil (noto anche come Sodinokibi). Apparentemente, gli hacker hanno già rivelato l'incidente sulla loro piattaforma web oscura, dove hanno pubblicato alcune delle informazioni compromesse. Gli hacker richiedono un riscatto di 109345 unità di criptovaluta Monero, che equivale a $ 7,5 milioni di dollari, uno dei maggiori incidenti di hacking registrati in Sud America.

Finora, la società non ha commentato l'incidente. Tuttavia, gli informatori affermano che la società attribuisce l'ingresso dell'infezione a un'e-mail malevola ricevuta da uno dei suoi dipendenti, anche se gli specialisti sottolineano che questo attacco non è conforme alla modalità di funzionamento del gruppo REvil.

I ricercatori e le società di sicurezza che hanno analizzato gli attacchi perpetrati da questo gruppo di hacking concordano sul fatto che REvil è specializzato in infezioni basate sulla rete, alla ricerca di macchine senza aggiornamenti da diffondere nelle reti interessate.

Bad Packets, società di cibersicurezza, ritiene che gli hacker avrebbero eseguito server Citrix VPN, oltre a un'istanza vulnerabile allo sfruttamento di CVE-2019-19781. Altri ricercatori ritengono che anche due difetti in un prodotto antivirus possano essere correlati all'attacco.  

Questo è anche il secondo attacco di banda REvil contro la rete di un provider di servizi Internet. La banda REvil ha inoltre attaccato di recente Sri Lanka Telecom, il più grande fornitore di telefonia fissa nel paese asiatico.

intopic.it