Se stai cercando l'istanza Mastodon di inSicurezzaDigitale puoi cliccare questa barra (mastodon.insicurezzadigitale.com)

Il curioso caso del ransomware e la società Entrust che la si pensa coinvolta in attacchi DDoS contro LockBit

Entrust Corporation potrebbe essere stata coinvolta in attacchi DDoS al sito Web Tor del gruppo di ransomware LockBit a causa della pubblicazione di dati interni alla società

Riportando quanto riferito da Bleeping Computer e del quale ho parlato anche qui, a fine luglio, il gigante della sicurezza informatica Entrust ha confermato la notizia di un attacco informatico alla sua infrastruttura e ha affermato che i dati erano stati rubati dalla sua rete. La scorsa settimana, LockBit ha rivendicato l’attacco e ha iniziato a pubblicare dati precedentemente rubati.

Il ricercatore Soufian Tahiri ha pubblicato sulla sua pagina screenshot della corrispondenza sul processo di negoziazione tra la società vittima e l’operatore RaaS (Ransomware as a Service). Il riscatto originale era di 8 milioni di dollari, ma poi è sceso a 6,8 milioni con uno sconto del 15%. A giudicare dalla corrispondenza presentata dal ricercatore, le parti non potevano essere d’accordo e LockBit ha iniziato a pubblicare dati della società, presi in ostaggio.

Il dialogo chat con il gruppo criminale

La fuga di dati consisteva in 30 schermate e includeva documenti legali, fogli di calcolo di marketing e dati contabili.

Poco dopo la pubblicazione della fuga di notizie, il sito Web LockBit sulla rete onion è stato sottoposto a potenti attacchi DDoS, come riferito da VX-Underground da un dialogo con il supporto di LockBitSupp.

“L’attacco DDdos è iniziato subito dopo la pubblicazione dei dati e le negoziazioni, ovviamente, erano loro, beh, chi altro ne ha bisogno? Inoltre, c’è un’iscrizione nei registri che richiede che i loro dati vengano eliminati”, ha detto LockBitSupp a BleepingComputer.

Anche Azim Shukshin di Cisco Talos ha parlato con LockBitSupp e ha scoperto che gli attacchi al sito del gruppo ransomware avevano l’aspetto di un costoso attacco “400 richieste al secondo da oltre 1000 server”.

Aggiungo io che allo stato attuale (22 agosto ore 22.50) il sito Tor di LockBit risulta ancora non raggiungibile in tutti i suoi mirrors.

“Anche l’ultimo [inviato al sito] è stato Accenture, ma non l’hanno fatto molto bene, Entrust lo fa molto meglio”, ha aggiunto LockBitSupp.

Dopo gli attacchi DDoS al sito Tor, LockBit ha suggerito di pubblicare tutti i dati di Entrust come torrent.

LockBit alla ricerca di seed Torrent

BleepingComputer ha contattato Entrust per chiedere se fossero responsabili dell’attacco DDoS su LockBit ma non ha ricevuto risposta.

I ricercatori in materia di sicurezza definiscono un possibile attacco DDoS da parte di una normale azienda contro i criminali un caso senza precedenti, che potrebbe servire come una sorta di cambio di paradigma quando le aziende o le organizzazioni governative vengono attaccate attraverso misure di ritorsione.