I'm the creeper

Continua la catena di attacchi ransomware: la nuova vittima è MediaWorld

Sembra non avere fine la catena di attacchi per mezzo di ransomware che sta coinvolgendo numerose aziende italiane e mondiali. A farne le spese questa volta è MediaWorld, catena di distribuzione legata alla tedesca Media Markt e specializzata nella vendita di elettrodomestici. Gli attaccanti sembrano lavorare a pieno ritmo per colpire qualsiasi obiettivo: dalla sanità pubblica, passando per i recenti attacchi alla San Carlo fino ad arrivare alla grande distribuzione organizzata (GDO). Il 2021 sembra ormai destinato ad essere l’anno dei record per gli attacchi di questa tipologia (anche le metodologie per arrivare alle vittime cambiano di volta in volta).

Il ransomware che ha colpito MediaWorld

Dai dettagli riportati dal giornale RTLnieuws sembra che il ransomware tenga sotto scacco i server dell’azienda ormai da alcuni giorni. Il riscatto richiesto è di circa 50 milioni di dollari da versare in Bitcoin per consentire il recupero dei dati e la ripresa della normale operatività dei sistemi. I negozi, tuttavia, non sono chiusi e continuano a offrire i servizi ai propri clienti, anche se ritiri e resi non sono momentaneamente possibili.

Il gruppo di cybercriminali dietro l’attacco è Hive, lo stesso che qualche mese fa aveva operato un altro attacco nei confronti di tre ospedali statunitensi e che l’FBI aveva già segnalato. Fra le modalità più utilizzate c’è da ricordare il phishing, come veicolo di infezioni malevoli insieme all’intrusione tramite Remote Desktop Protocol (RDP), usato per controllare in remoto i computer Windows.

Il riscatto richiesto e la modalità

Probabilmente l’aspetto più divertente della vicenda (che però la dice lunga su come stiano mutando gli scenari d’attacco) è il portale messo a disposizione dagli attaccanti. Infatti, i sistemisti di MediaWorld hanno la facoltà di accedere ad una chat con Hive in cui poter contrattare il prezzo del riscatto. Se si decide poi di pagare in Bitcoin il prezzo pattuito, nella stessa pagina di Helpdesk ci sarà un’area aggiuntiva in cui decifrare i file presi in ostaggio.

I computer infettati mostrano un messaggio come questo: “La tua rete è stata violata e tutti i dati sono stati criptati. Per riavere accesso a tutti i dati, devi acquistare il nostro software”. Hive ha anche predisposto un sito in cui vengono resi pubblici i dati estorti ad altre aziende, come a voler dimostrare la propria superiorità.

In ogni caso, quanto delineato sopra rende chiaramente l’idea del business, sempre più fiorente, legato agli attacchi cyber che approfitta dell’insicurezza generale e della scarsa attenzione al rischio. Al contrario una serie così diffusa di attacchi dovrebbe invitare alla riflessione gli amministratori aziendali per cercare di correre ai ripari il prima possibile. Ancora una volta la formazione dei dipendenti sui rischi cyber, una buona progettazione delle architetture e la presenza di un team di esperti ben preparati può prevenire scenari di questo genere.

Published by
Nicola Fioranelli