Una banda di cybercriminali nota per la diffusione di un ransomware (un malware che limita l’accesso del dispositivo che infetta, criptando ad esempio, i dati) denominato REvil è riuscita a penetrare infrastrutture di Acer chiedendo il pagamento di un riscatto di 50 milioni di dollari all’azienda taiwanese.
Stando a quanto riferiscono i siti Bleeping Computer, The Record e altre fonti ancora, i cybercriminali sarebbero riusciti a sfruttare vulnerabilità di Microsoft Exchange per accedere alla rete aziendale di Acer.
Si tratta di una delle più grandi richieste di riscatto di sempre, una pretesa di pagamento probabilmente proporzionata alle dimensioni del brand con sede a Taiwan che è uno dei produttori di personal computer più noti al mondo.
Il gruppo di Cybercriminali, noto per avere attaccato varie aziende prelevando dati di varia natura minacciando di cifrarli, ha annunciato su portali del dark web di essere riuscito ad attaccare Acer pubblicando anche delle immagini a corredo come prova. A quanto pare Acer ha tempo fino al 28 marzo per pagare prima che i dati vengano diffusi sul web. Il sito Bleeping Computer riferisce anche di una presunta “conversazione” tra i responsabili di Acer e i Cybercriminali, con questi ultimi che avrebbero offerto uno sconto del 20% se il pagamento avveniva entro mercoledì.
Acer non ha per il momento pubblicamente ammesso l’attacco ransomware; un portavoce dell’azienda al sito Bleeping Computer ha ad ogni modo riferito che è stata recentemente osservata “una situazione anomala”, riportata “alle competenti autorità e autorità di protezione dei dati in varie nazioni”.
A portare a termine vari attacchi hacker che sfruttano vulnerabilità di Microsoft Exchange, sarebbe un gruppo specifico di hacker cinesi; l’attacco è ad ogni modo facilmente replicabile e permetterebbe di installare una “web shell”, strumento che consente di mantenere aperto l’accesso ai istemi attaccati e di prenderne il controllo anche dopo la chiusura delle vulnerabilità. Microsoft ha rilasciato varie patch ma non tutti le hanno installate e, in alcuni casi l’unica soluzione è eliminare tutto e ripristinare il server da zero.
Sta diventando sempre più complicato difendersi dai ransomware: esistono persino piattaforme RaaS (Ransomware-as-a-Service) su cloud che consentono quasi a chiunque di utilizzare strumenti ransomware, con il conseguente aumento di incidenti informatici provocati da minacce di questo tipo.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
