Dopo aver attaccato la Regione Lazio, RansomEXX ha colpito di nuovo: questa volta la vittima degli hacker è Gigabyte, società di Taiwan. A pochi giorni dall’annuncio di un ransomware che ha colpito l’Olanda, la sicurezza informatica mondiale è scossa da un nuovo attacco. Dietro l’hacking ci sarebbero gli stessi attaccanti che hanno mirato ai sistemi del Lazio, ma le indagini sono ancora in corso e molti dettagli devono ancora essere scoperti. Al momento ci sarebbero circa 112 GB di dati in ostaggio.
Stesso copione, vittima diversa: pochi giorni dopo l’attacco hacker alla Regione Lazio, Gigabyte, azienda taiwanese, è stata colpita dal ransomware RansomEXX. L’azienda leader nella fornitura di schede madri e componenti hardware per Nvidia e AMD dovrà pagare un riscatto per riavere ben 112 GB di dati. A dirlo è lo stesso gruppo hacker che ha sferrato l’attacco in una nota pubblicata sul sito stesso dell’azienda. Il gruppo, che si pensa essere lo stesso dell’attacco al Lazio, ha affermato di avere in possesso molte informazioni interne di Gigabyte, compresi documenti con accordo di non divulgazione che riguardano anche AMD, Intel e Nvidia.
L’attacco è avvenuto nella notte tra il 3 e il 4 agosto, costringendo l’azienda a spegnere i sistemi di Taiwan per evitare ulteriori danni e causando molti disservizi. Secondo quanto dichiarato da Gigabyte il malware avrebbe colpito soltanto una piccola porzione di server. Tra questi, quelli dedicati ai flussi di produzione e vendita sarebbero illesi. Risultano invece inutilizzabili diverse porzioni del sito Taiwanese e il servizio clienti.
Gigabyte non ha ancora rilasciato alcuna nota sull’identità degli attaccanti, ma è quasi sicuro che si tratti dello stesso gruppo legato alla Regione Lazio. Nei device criptati sono state individuate delle note contenenti un link a una pagina con le istruzioni per pagare il riscatto. La pagina non è pubblica, ma visibile soltanto al network di Gigabyte. Fonti interne all’azienda hanno però rilasciato alcuni screenshot della pagina, dove gli attaccanti affermano di aver rubato e criptato i dati di Gigabyte. Sul sito si legge:
Abbiamo scaricato 112GB dei vostri file e siamo pronti a pubblicarli. Molti di essi sono sotto accordo di non divulgazione (Intel, AMD, American Megatrends).
A dimostrazione della veridicità dell’attacco, gli hacker hanno pubblicato sulla pagina alcune immagini dei documenti rubati. Nelle istruzioni di pagamento gli attaccanti chiedono di parlare con un rappresentante dell’azienda, minacciando di aumentare la somma del riscatto se ciò non dovesse avvenire. Attualmente non ci sono notizie sulla volontà di Gigabyte di pagare, né se si sia messa in contatto col gruppo hacker.
RansomEXX non è soltanto il nome del ransomware che sta terrorizzando il mondo, ma si riferisce anche al gruppo hacker dietro di esso. Gli attacchi con questo malware sono cominciati nel 2018, anche se a quel tempo si chiamavano ancora Defray. Inizialmente RansomEXX colpiva soltanto i sistemi Windows, ma negli ultimi tempi si è esteso anche a Linux, sfruttando alcune vulnerabilità dei server VMware ESXi.
Il ransomware usa le email per inviare alle vittime un documento Word con una macro maligna. Una macro è una serie di istruzioni raggruppate sotto un unico comando, usata per automatizzare attività frequenti, velocizzando il lavoro. Molti utenti non utilizzando le macro e di default l’impostazione è disabilitata. All’apertura dell’allegato un messaggio richiede all’utente di abilitare l’esecuzione delle macro per poter accedere ai contenuti sensibili del documento. Una volta abilitata, la macro esegue il codice malevolo infettando l’intero sistema.
A questo punto, se la macchina si trova all’interno di una rete, il malware cercherà di violarla interamente sfruttando le vulnerabilità del protocollo di desktop remoto o rubando credenziali e acquisendo man mano sempre più accessi. Al contempo il ransomware raccoglie tutti i dati presenti nei device attaccati, criptandoli e fornendoli agli attaccanti che richiederanno il riscatto.