Redazione RHC : 8 Novembre 2022 08:49
La famigerata banda BlackBasta rivendica oggi l’attacco ransomware alle infrastrutture della METRO, la terza catena di vendita al dettaglio in Europa e la quarta al mondo.
Come avevamo riportato qualche giorno fa, la METRO è stata vittima di un attacco informatico che ha bloccato parte della sua infrastruttura IT, oltre a problemi con il pagamento nei negozi e la consegna degli ordini online.
Anche se erano arrivate delle voci a Red Hot Cyber su chi era il Threat Actors che aveva colpito la Metro, successivamente tali informazioni sono state confermate. E’ stata la cybergang BlackBasta che ha colpito la METRO.
Prova Gratuitamente Business Log! L'Adaptive SOC italiano
Proteggi la tua azienda e ottimizza il tuo lavoro grazie al SOC di Business Log, il software leader per audit, log management e cybersicurezza realizzato in Italia. Business Log garantisce:
Sempre da informazioni fornite a RHC, sembrerebbe che l’attacco abbia avuto inizio con una campagna mirata di phishing, poi successivamente, attraverso l’utilizzo di malware, ha permesso alla gang di impadronirsi dei server ESX/Vmware e bloccare una parte delle infrastrutture.
BlackBasta, pubblica sul proprio data leak site (DLS) le seguente informatica:
METRO è partner di molte piccole e medie imprese indipendenti. Il loro successo è il nostro business.
Con i nostri marchi METRO e MAKRO, è un grossista per i clienti del settore alberghiero, della ristorazione e della ristorazione (HoReCa), nonché per i commercianti indipendenti (Commercianti).
I nostri oltre 95.000 dipendenti in oltre 30 paesi sono uniti soprattutto da una cosa: la loro passione per servire i nostri 17 milioni di clienti. Offriamo a questi clienti un portafoglio di prodotti e soluzioni su misura per le loro esigenze specifiche.
In qualità di fornitore multicanale, combiniamo un'ampia rete di moderni negozi all'ingrosso con un ampio servizio di consegna (Food Service Distribution/FSD) e un mercato online, il tutto supportato digitalmente. Aiutiamo ciascuno dei nostri clienti a trovare il modo che funziona meglio per loro.
SITO: https://www.metroag.de
INDIRIZZO
METRO AG
Metro-Strasse 1
40235 Dusseldorf
Telefono: +49 211 6886-0
BlackBasta pubblica anche alcuni samples di dati esfiltrati dalle infrastrutture IT dell’azienda, come riportato di seguito, per aumentare la pressione verso l’organizzazione e quindi indurla a pagare il riscatto.
Ricordiamo sempre che l’ammontare delle richieste di riscatto sono sempre commisurate alle revenue delle aziende e alla quantità/tipologia dei dati acquisiti dalla cyber gang.
Nel mentre attendiamo un comunicato ufficiale dell’azienda, RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.
Nel caso in cui l’azienda voglia fornire una dichiarazione a RHC, saremo lieti di pubblicarla con uno specifico articolo sulle nostre pagine per dare risalto alla questione.
Qualora ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda od effettuare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.
Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:
Black Basta è un ransomware as a service (RaaS) emerso per la prima volta nell’aprile 2022. Tuttavia, le prove suggeriscono che è in fase di sviluppo da febbraio.
Gli operatori di Black Basta utilizzano la tecnica della doppia estorsione, il che significa che oltre a crittografare i file sui sistemi delle organizzazioni prese di mira e richiedere un riscatto per rendere possibile la decrittazione, mantengono anche un sito di fuga di informazioni sul dark web dove minacciano di pubblicare informazioni sensibili se un’organizzazione sceglie di non pagare un riscatto.
Gli affiliati di Black Basta sono stati molto attivi nell’implementazione di Black Basta e nell’estorsione di organizzazioni sin dalla prima comparsa del ransomware.
Il ransomware di BlackBasta è scritto in C++ e ha un impatto sui sistemi operativi Windows e Linux.
Crittografa i dati degli utenti utilizzando una combinazione di ChaCha20 e RSA-4096 e, per accelerare il processo di crittografia, il ransomware crittografa in blocchi di 64 byte, con 128 byte di dati che rimangono non crittografati tra le porzione di dati crittografate.
Più velocemente viene la crittografia del ransomware, più sistemi possono essere potenzialmente compromessi prima che vengano attivate le difese perimetrali. È un fattore chiave che gli affiliati cercano quando si uniscono a un gruppo Ransomware-as-a-Service.
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.
Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.
Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009