Nel weekend del 13 e 14 marzo scorso l’azienda taiwanese Acer, famosa in tutto il mondo per la produzione di computer e altri dispositivi multimediali, è stata vittima di un attacco hacker del gruppo di cybercriminali noto come Gold Southfield, mediante il ransomware REvil, conosciuto anche con il nome di Sodinokibi.
Dalle immagini presenti in rete si vede che l’effrazione digitale questa volta ha riguardato documenti che includono fogli di calcolo di carattere finanziario, estratti di conti correnti e comunicazioni bancarie.
La notizia del cyber-attacco è trapelata solo il 19 marzo quando alcuni ricercatori informatici, scandagliando il dark web, hanno scoperto su un portale la richiesta di riscatto avanzata dalla banda REvil.
50 milioni di dollari da pagare entro domenica 28 marzo per ricevere le chiavi per decriptare i file, altrimenti il prezzo sarebbe raddoppiato.
Dal canto suo, l’azienda ha minimizzato l’accaduto, dichiarando che “Acer monitora regolarmente i suoi sistemi IT e la maggior parte degli attacchi informatici è ben difesa. Le aziende come noi sono costantemente sotto attacco e abbiamo segnalato recenti situazioni anomale osservate dalle forze dell’ordine e dalle autorità di protezione dei dati in più paesi – aggiungendo che – c’è un’indagine in corso e per il bene della sicurezza, non siamo in grado di commentare i dettagli”.
Secondo gli analisti di Bleeping Computer la banda di REvil aveva recentemente preso di mira un server Microsoft Exchange sul dominio Acer, sfruttando la vulnerabilità ProxyLogon per diffondere il loro ransomware. Stavolta aveva offerto addirittura uno sconto del 20% qualora il pagamento fosse stato effettuato entro mercoledì 17 marzo, prima di diffondere gli screenshot del furto di dati su internet.
Dunque, non solo gli attaccanti di DearCry sono stati in grado di sfruttare la vulnerabilità ProxyLogon, ma anche REvil avrebbe fatto lo stesso per rubare dati o crittografare dispositivi, usando questo vettore di attacco per mettere in attacco un’operazione di ransomware su larga scala.
I ricercatori di Advanced Intel, come ricostruito per mezzo della loro piattaforma di cybersecurity Andariel, sostengono che i primi tentativi di attacco risalgano agli inizi di marzo. Sottolineano pertanto che gli attaccanti abbiano impiegato pochi giorni per mettere a punto quella che potrebbe rivelarsi la più redditizia effrazione digitale vista fino ad oggi. D’altro canto, questo episodio mette per l’ennesima volta a nudo l’inadeguatezza dei sistemi difensivi delle società bersaglio, a maggior ragione stavolta che si tratta di una società nel campo dell’ICT che dall’ultimo bilancio consultabile ha fatturato oltre 230 miliardi di dollari.
