Accenture minimizza ma l’attacco ransomware c’è stato: cosa è successo?

Accenture, il gigante della consulenza tra i più giganti al mondo, è stato preso di mira da un gruppo ransomware (Lockbit2.0) che afferma di essere penetrato nelle difese dell’azienda e rilascerà una cache di dati rubati nelle prossime ore (ore 20:50 – in realtà il countdown sul sito di Lockbit2.0 è già terminato ma a causa di un bug del sito, i file non sono ancora disponibili per il download).

Secondo quanto riferito, gli hacker hanno utilizzato il ransomware Lockbit2.0 e si sono offerti di vendere le informazioni “insider” a chiunque fosse interessato. Un post sul sito onion del gruppo criminale (sul dark web) dice “Queste persone sono al di là della privacy e della sicurezza. Spero davvero che i loro servizi siano migliori di quelli che ho visto come insider. Se sei interessato ad acquistare alcuni database, contattaci”. 

Secondo Le Parisien, il gruppo di criminali informatici Lockbit ha pubblicato la minaccia di svelare i dati sulla sua pagina Dark Web.

La conferma di Accenture

L’azienda ha confermato l’hacking e ha affermato di aver identificato l’attività irregolare e di aver immediatamente contenuto la questione isolando i server interessati.

Ovviamente dopo la conferma c’è stata una grave ripercussione anche economicamente sul fronte azionario che ha visto il titolo scendere proprio in quelle ore.

6 TB di file rubati con riscatto di 50 milioni di dollari

Nelle conversazioni intercorse dal team di ricerca di Cyble, la banda di ransomware LockBit afferma di aver rubato sei terabyte di dati da Accenture e chiede un riscatto di 50 milioni di dollari.

Gli autori delle minacce affermano di aver avuto accesso alla rete di Accenture tramite un “insider” aziendale.

Fonti vicine all’attacco hanno riferito a BleepingComputer che Accenture ha confermato l’attacco ransomware ad almeno un fornitore CTI e che il fornitore di servizi IT sta anche informando più clienti.

Inoltre, la società di intelligence sulla criminalità informatica Hudson Rock ha condiviso che Accenture aveva 2.500 computer compromessi appartenenti a dipendenti e partner:

https://twitter.com/HRock/status/1425447533598453760

UPDATE 19.08.2021 – 20.55 La trattativa continua

Dopo giorni seguiti da giorni di interminabili countdown, con ogni giornata che rimanda alla seguente, siamo arrivati al 19 agosto, che ancora non c’è un esito definitivo di questo leak: trattativa in corso?

Per il momento, l’ultimo conto alla rovescia dei criminali di Lockbit, è terminato da circa un’ora e mezza e il sito, nel quale devono essere pubblicati i dati riservati di Accenture, catturati durante l’attacco, è inaccessibile per errore di autenticazione: il gruppo criminale ha preventivamente impostato una password lato server di modo che nessuno possa accedere, in questa maniera è sicuro che evitano il DDos ormai quotidiano.

UPDATE 13.08.2021 – 23.50

L’appuntamento era per le 20.43 di questa giornata, come sempre andato a vuoto, stavolta anche rendendo inaccessibile il sito per diverse ore. LockBit torna online, ma con un nuovo countdown, stavolta più lungo delle solite 24 ore, il nuovo appuntamento è fissato per la serata del 15 agosto 2021.

UPDATE 12.08.2021 – 23.40

Un esempio di lista di file che sono stati pubblicati, anche se ancora non disponibili per il download a causa dell’ingente traffico sul sito. Un gist su Github è sicuramente più esplicativo.

WIN-ENVD/Z/ddd/dec/cisqj_decoded.docx,cisqj_decoded.docx,11.Aug.2021,194.25kB
WIN-ENVD/Z/ddd/dec/cisqsecuritycompliancereport_decoded.docx,cisqsecuritycompliancereport_decoded.docx,11.Aug.2021,115.56kB
WIN-ENVD/Z/ddd/dec/cisqsecuritydetailedreport_decoded.docx,cisqsecuritydetailedreport_decoded.docx,11.Aug.2021,117.90kB
WIN-ENVD/Z/ddd/dec/cisqsecurityfulldetailedreport_decoded.xlsx,cisqsecurityfulldetailedreport_decoded.xlsx,11.Aug.2021,17.33kB
WIN-ENVD/Z/ddd/dec/cisquj_decoded.docx,cisquj_decoded.docx,11.Aug.2021,125.76kB
WIN-ENVD/Z/ddd/dec/clientcreationtemplate_decoded.xlsx,clientcreationtemplate_decoded.xlsx,11.Aug.2021,14.13kB
WIN-ENVD/Z/ddd/dec/clientdc1_decoded.xlsx,clientdc1_decoded.xlsx,11.Aug.2021,9.77kB
WIN-ENVD/Z/ddd/dec/clientdetailstemplate_decoded.xlsx,clientdetailstemplate_decoded.xlsx,11.Aug.2021,14.12kB
WIN-ENVD/Z/ddd/dec/clientinstalls-fenergoinstallationguide8.6amber_decoded.pdf,clientinstalls-fenergoinstallationguide8.6amber_decoded.pdf,11.Aug.2021,421.94kB
WIN-ENVD/Z/ddd/dec/clientinstalls-healthcheckguide8.6amber1_decoded.pdf,clientinstalls-healthcheckguide8.6amber1_decoded.pdf,11.Aug.2021,2.14MB
WIN-ENVD/Z/ddd/dec/clientinstalls-prerequisitesguide8.6amber_decoded.pdf,clientinstalls-prerequisitesguide8.6amber_decoded.pdf,11.Aug.2021,401.63kB
WIN-ENVD/Z/ddd/dec/clientinstalls-securityrecommendationsguide8.6amber_decoded.pdf,clientinstalls-securityrecommendationsguide8.6amber_decoded.pdf,11.Aug.2021,381.53kB
WIN-ENVD/Z/ddd/dec/clientinstalls-troubleshootingguide8.6amber_decoded.pdf,clientinstalls-troubleshootingguide8.6amber_decoded.pdf,11.Aug.2021,812.58kB
WIN-ENVD/Z/ddd/dec/clientnative_decoded.xlsx,clientnative_decoded.xlsx,11.Aug.2021,28.75kB
WIN-ENVD/Z/ddd/dec/clientnativehelp_decoded.pdf,clientnativehelp_decoded.pdf,11.Aug.2021,1.25MB
WIN-ENVD/Z/ddd/dec/clientsol1_decoded.xlsx,clientsol1_decoded.xlsx,11.Aug.2021,18.00MB
WIN-ENVD/Z/ddd/dec/codeless_decoded.xls,codeless_decoded.xls,11.Aug.2021,42.00kB
WIN-ENVD/Z/ddd/dec/commoditycodeupdate_decoded.xlsx,commoditycodeupdate_decoded.xlsx,11.Aug.2021,8.79kB
WIN-ENVD/Z/ddd/dec/commontest-1.19.1_decoded.pdf,commontest-1.19.1_decoded.pdf,11.Aug.2021,646.49kB
WIN-ENVD/Z/ddd/dec/comparisons_decoded.pdf,comparisons_decoded.pdf,11.Aug.2021,75.46kB
WIN-ENVD/Z/ddd/dec/compiler-7.6.6_decoded.pdf,compiler-7.6.6_decoded.pdf,11.Aug.2021,70.91kB
WIN-ENVD/Z/ddd/dec/completenessreport20210628083240_decoded.xlsx,completenessreport20210628083240_decoded.xlsx,11.Aug.2021,147.92kB
WIN-ENVD/Z/ddd/dec/completenessreport20210707113750_decoded.xlsx,completenessreport20210707113750_decoded.xlsx,11.Aug.2021,22.26kB
WIN-ENVD/Z/ddd/dec/completenessreport20210709092906_decoded.xlsx,completenessreport20210709092906_decoded.xlsx,11.Aug.2021,147.73kB
WIN-ENVD/Z/ddd/dec/completenessreport20210719102839_decoded.xlsx,completenessreport20210719102839_decoded.xlsx,11.Aug.2021,23.42kB
WIN-ENVD/Z/ddd/dec/completenessreport20210719124107_decoded.xlsx,completenessreport20210719124107_decoded.xlsx,11.Aug.2021,23.47kB
WIN-ENVD/Z/ddd/dec/completenessreport20210721111035_decoded.xlsx,completenessreport20210721111035_decoded.xlsx,11.Aug.2021,24.35kB
WIN-ENVD/Z/ddd/dec/completenessreport20210721131155_decoded.xlsx,completenessreport20210721131155_decoded.xlsx,11.Aug.2021,24.20kB
WIN-ENVD/Z/ddd/dec/completenessreport20210727114411_decoded.xlsx,completenessreport20210727114411_decoded.xlsx,11.Aug.2021,23.78kB
WIN-ENVD/Z/ddd/dec/concordance_decoded.pdf,concordance_decoded.pdf,11.Aug.2021,203.05kB

Il link originale al file e al progetto di scraping JS: https://gist.github.com/nuke86/eb18a8a6a3cf068219cdb03749eb1fd3

https://github.com/ka7ana/accenture_filelist

UPDATE 11.08.2021 – 23.40

Il conteggio è stato rinviato alla giornata di domani. Seconda pubblicazione, dopo che la prima era inaccessibile a causa dell’elevato traffico sul sito TOR. Vedremo se questa concessione di tempo è dovuta a trattative in corso con il gruppo ransomware.

UPDATE 11.08.2021 – 23:06

Al momento da quel poco che si è riuscito a leggere i file sembrano essere PowerPoint, casi di studio e citazioni, ma la piattaforma ha grossi rallentamenti causati dal traffico! Il mondo intero è collegato sul sito di Lockbit2.0 per avere aggiornamenti sul destino di Accenture.

Kevin Beaumont, capo del centro operativo di sicurezza per il gigante della vendita al dettaglio di moda con sede a Londra Arcadia Group, riferisce che la banda ha seguito alla lettera la sua minaccia e ha pubblicato i file.

Seguiranno aggiornamenti qui quando ci sarà la disponibilità dei file di esempio rubati, per capire di cosa si tratta.