La società di cereali NEW Cooperative Inc. con sede in Iowa è stata colpita da un attacco ransomware, costringendo l'azienda a chiudere il proprio sistema per contrastare l'attacco. Il gruppo BlackMatter dietro l'attacco ha chiesto il riscatto di 5,9 milioni di dollari, preoccupando il pubblico in quanto potrebbe influenzare la catena di approvvigionamento negli Stati Uniti, causando una potenziale carenza di cibo.
La NUOVA Cooperativa ha confermato di essere stata colpita e ha affermato di essere in contatto con le forze dell'ordine per porre rimedio alla situazione il prima possibile prima che influisca sulla filiera.
Dettagli dell'attacco BlackMatter Ransomware
Il gruppo di ransomware BlackMatter chiede 5,9 milioni di dollari dalla NUOVA Cooperativa, secondo uno screenshot condiviso online dagli analisti delle minacce. In una chat di negoziazione privata di un NUOVO rappresentante della Cooperativa con BlackMatter, la banda afferma di non aver colpito l'infrastruttura critica. Il rappresentante della NUOVA Cooperativa ha inoltre affermato:
“Il tuo sito web dice che non attacchi le infrastrutture critiche. Siamo un'infrastruttura critica… ci siamo intrecciati con la catena di approvvigionamento alimentare negli Stati Uniti. Se non saremo in grado di riprenderci a breve, ci sarà un'interruzione molto molto pubblica nella catena di approvvigionamento di grano, carne di maiale e pollo. Circa il 40% della produzione di grano viene eseguito sul nostro software… questo interromperà la catena di approvvigionamento in brevissimo tempo…».
Il rappresentante ha inoltre affermato che se non risolveranno presto questo problema e interromperà la catena di approvvigionamento, CISA dovrà intervenire se i NUOVI sistemi della Cooperativa non saranno online.
BlackMatter ha risposto che le aziende agricole non rientrano nella categoria delle "infrastrutture critiche". Ars Technica ha notato sul sito Web Tor leak di BlackMatter che il gruppo non attacca ospedali, industria petrolifera, del gas, industria della difesa, organizzazioni senza scopo di lucro, settori governativi e "strutture infrastrutturali critiche". Queste industrie includono centrali nucleari, impianti di trattamento delle acque e centrali elettriche.
La banda di ransomware BlackMatter afferma di non attaccare le infrastrutture critiche (Ars Technica)
“Io [non] ti sto minacciando. Questo è praticamente fuori dalle nostre mani. Non possiamo controllare ciò che [fanno] le autorità di regolamentazione e il governo degli Stati Uniti. L'impatto di questo attacco sarà probabilmente molto peggiore dell'attacco alla pipeline per il contesto e non abbiamo modo di controllarlo, data l'interruzione che ciò ha già causato", una NUOVA Cooperativa. Il rappresentante di Inc ha detto alla banda di ransomware.
Ars Technica ha anche notato che anche il progetto SOILMAP dell'azienda non è disponibile dall'attacco. SOILMAP è una soluzione software che offre varie funzionalità come test del suolo, mappatura e contabilità dei fornitori per semplificare il processo.
Gli attori della minaccia hanno anche affermato di aver rubato il codice sorgente del progetto SOILMAP, informazioni sui dipendenti, documenti finanziari e risultati di ricerca e sviluppo.
Pagina di fuga di dati non pubblica del progetto SOILMAP di NEW Cooperative (Bleepingcomputers)
Banda di ransomware BlackMatter
BlackMatter è emerso subito dopo Darkside e le bande di ransomware REvil sono scomparse a luglio dopo gli attacchi informatici a Kaseya e Colonial Pipeline. Jake Williams, co-fondatore di BreachQuest, afferma:
“BlackMatter sembra essere uno spin-off del gruppo REvil e negli ultimi mesi ha attivamente reclutato per gli accessi iniziali alle reti delle vittime. Sebbene il gruppo affermi che non prenderà di mira le "strutture infrastrutturali critiche", la definizione che il gruppo utilizza nel suo blog è diversa dalla definizione di infrastruttura critica del governo degli Stati Uniti, che includerebbe la NUOVA Cooperativa".
È interessante notare che questo attacco alla NEW Cooperative è arrivato dopo l'incontro del presidente Biden con gli amministratori delegati dei giganti della tecnologia e la sua dichiarazione pubblica sui criminali informatici con sede in Russia che danneggiano le infrastrutture degli Stati Uniti. Se è davvero una risposta all'avvertimento del presidente Biden, allora questo potrebbe essere solo l'inizio di una serie di attacchi a venire.
Questo è stato il secondo attacco di questa banda a settembre, quando BlackMatter ha attaccato Olympus, un gigante tecnologico giapponese, l'8 settembre. Emisoft ha anche registrato oltre 40 attacchi ransomware collegati a questo attore di minacce.
Gli attacchi ransomware sono in costante aumento e le organizzazioni statunitensi sono il principale obiettivo dei criminali. Nell'ultimo mese, anche T-Mobile e AT&T hanno subito attacchi ransomware. Questo attacco a NEW Cooperative è molto simile all'attacco ransomware di REvil a JBS, il più grande trasformatore di carne del mondo, costringendo l'azienda a pagare un riscatto di 11 milioni di dollari.
Hank Schless, Senior Manager di Lookout, una sicurezza da endpoint a cloud con sede in California, afferma:
“Questo dovrebbe servire come un campanello d'allarme per ogni organizzazione di cui hanno bisogno per agire per proteggersi. Le dichiarazioni del Presidente su questi tipi di attacchi hanno svolto un ottimo lavoro nel trasmettere l'importanza della sicurezza informatica, ma spetta alle organizzazioni mettere queste parole in azioni e rafforzare le proprie difese".