🧠 Il blog è dedicato al tema vpn e sicurezza, privacy dei dati su Internet. Parliamo di tendenze attuali e notizie relative alla protezione.

Il gruppo BlackByte Ransomware ha attaccato i San Francisco 49ers prima del Super Bowl

17

I San Francisco 49ers confermano di essere stati attaccati poche ore prima dell'inizio del Super Bowl. La banda di ransomware BlackByte rivendica la responsabilità.

In una dichiarazione ufficiale, il team ha affermato che "di recente è venuto a conoscenza di un incidente di sicurezza della rete" che ha causato un'interruzione nella rete aziendale. Il gruppo ha rubato i documenti finanziari del team.

Il portavoce di San Francisco 49ers ha affermato che dopo aver appreso dell'attacco informatico, società di sicurezza informatica di terze parti sono state coinvolte per contenere l'attacco e anche le forze dell'ordine sono state informate.

“Mentre le indagini sono in corso, riteniamo che l'incidente sia limitato alla nostra rete IT aziendale, ad oggi non abbiamo alcuna indicazione che questo incidente riguardi sistemi al di fuori della nostra rete aziendale, come quelli collegati alle operazioni del Levi's Stadium dei possessori di biglietti. Mentre l'indagine continua, stiamo lavorando diligentemente per ripristinare i sistemi coinvolti nel modo più rapido e sicuro possibile", ha affermato il portavoce dei San Francisco 49ers.

Dopo l'incidente, domenica i San Francisco 49ers si sono presentati anche sul sito della banda di ransomware BlackByte. Il gruppo ha pubblicato alcuni documenti rubati della squadra sul dark web in un file chiamato "Fatture 2020". La banda di ransomware non ha avanzato alcuna richiesta di ransomware e non ha specificato quanti dati sono stati rubati.

I San Francisco 49ers si sono presentati sul sito di fuga ufficiale di BlackByte. (Immagine: ZDNet)

L'attacco ai San Francisco 49ers è arrivato il giorno dopo l' avvertimento dell'FBI sulla banda di ransomware BlackByte. Secondo l'avvertimento dell'FBI:

“A partire da novembre 2021, il ransomware BlackByte aveva compromesso più aziende statunitensi e straniere, comprese entità in almeno tre settori delle infrastrutture critiche statunitensi (strutture governative, finanziarie e alimentari e agricole). BlackByte è un gruppo Ransomware as a Service (RaaS) che crittografa i file su sistemi host Windows compromessi, inclusi server fisici e virtuali".

Secondo il rapporto dell'FBI, gli attori delle minacce utilizzano  le vulnerabilità di Microsoft Exchange per accedere alle reti. Una volta che hanno accesso alla rete, gli hacker possono implementare vari strumenti per spostarsi attraverso la rete per " aumentare i privilegi prima di crittografare i file ". In alcuni incidenti, il gruppo ransomware BlackByte ha solo file parzialmente crittografati.

Un rapporto di Red Canary ha mostrato che il ransomware BlackByte ha ottenuto l'accesso alla rete sfruttando le vulnerabilità di ProxyShell sul server Microsoft Exchange di un cliente. Queste vulnerabilità includono CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.

Il gruppo ransomware BlackByte è emerso l'anno scorso con obiettivi di alto profilo negli Stati Uniti. La ricerca di Trustwave ha mostrato che il ransomware BlackByte utilizza la stessa chiave per crittografare i file rubati in AES. Invece di utilizzare una chiave univoca per ogni sessione, il gruppo utilizza la stessa chiave. Trustwave ha anche caricato un decryptor BlackByte su GitHub.

Secondo l'FBI, la seconda versione del ransomware è stata rilasciata a novembre. Brett Callow, l'esperto di ransomware Emsisoft, ha affermato che BlackByte è un'operazione di Ransomware-as-a-service (RaaS) e che gli attori delle minacce che lo utilizzano per effettuare attacchi informatici potrebbero non trovarsi necessariamente nello stesso paese.

Callow ha affermato che, come altri tipi di ransomware, " BlackByte non crittografa i computer che utilizzano la lingua della Russia e dei paesi post-sovietici ". Ha detto che non significa che gli aggressori dietro questo incidente siano in Russia. " Chiunque può utilizzare il malware per lanciare attacchi ", afferma Callow.

I gruppi di ransomware hanno scatenato il caos negli ultimi mesi con obiettivi di alto profilo. Alcuni casi di alto profilo di questo mese includono l' attacco Vodafone Portugal e l'attacco informatico ai porti belgi e olandesi.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More