RansomEXX ransomware attacca Gigabyte Technologies

Gigabyte Technologies, produttore di schede madri e produttore di hardware per computer di Taiwan, è stato preso di mira e attaccato da una banda di ransomware chiamata RansomEXX. Questa banda di ransomware ha minacciato Gigabyte di pagare loro la richiesta di riscatto, altrimenti pubblicheranno 112 GB dei dati rubati dall’azienda.

Il prodotto principale offerto da Gigabyte sono le schede madri, ma forniscono e distribuiscono anche diversi tipi di hardware per computer. 

L’azienda è stata costretta a chiudere le sue attività a Taiwan a partire dalla notte del 3 agosto, fino al giorno successivo, il 4 agosto, a causa dell’attacco ransomware. Anche il sito di supporto di Gigabyte e diversi siti Web sono stati gravemente colpiti dall’attacco. Per quanto riguarda i problemi dei clienti sollevati nel mezzo dell’attacco ransomware, hanno riferito di essere in grado di accedere a documenti di supporto casuali e ottenere dati RMA aggiornati. 

Gigabyte ha confermato di essere stati oggetto di un attacco informatico, come riportato dal sito di notizie cinese United Daily News. Si dice che l’attacco abbia avuto un impatto significativo su un piccolo numero di server di proprietà di Gigabyte. L’azienda ha agito rapidamente dopo aver scoperto di essere stata attaccata a causa di un’attività anomala rilevata durante il loro funzionamento. Hanno dovuto spegnere immediatamente i loro sistemi e allertare le forze dell’ordine.

La sofferenza di Gigabyte durante l’attacco 

Durante i primi risultati di Gigabyte mentre stavano subendo un attacco informatico, non lo avevano ancora annunciato ufficialmente. Tuttavia, è stato scoperto dai ricercatori informatici che l’attacco è stato eseguito dalla banda RansomEXX. Il processo di questa banda di ransomware è che inseriranno molte note di riscatto su ogni dispositivo crittografato in cui hanno crittografato una rete.

Una pagina non pubblica è contenuta in queste note di riscatto e intende essere una pagina riservata a cui può accedere solo la vittima. Il suo scopo è testare la decrittazione di un dispositivo o file crittografato. Una volta che la vittima entra in quella pagina riservata, deve lasciare un indirizzo e-mail in cui l’attaccante e la vittima si scambieranno le trattative per il riscatto. A partire dal 6 agosto, è stata inviata una fonte ai ricercatori, incluso il collegamento alla stessa pagina di fuga di RansomEXX non pubblica destinata esclusivamente ai Gigabyte. In questa pagina, gli aggressori minacciano la vittima di aver rubato più di 112 GB di dati durante l’attacco e chiedono di soddisfare le loro richieste di riscatto.

Ulteriori informazioni sul ransomware RansomEXX 

Fondato con il nome Defray nel 2018, l’operazione del ransomware RansomEXX è stata rinominata lo scorso giugno del 2020 e da allora sono diventati più coinvolti negli attacchi informatici. Il processo di base di questo ransomware è che violano una rete di destinazione tramite Remote Desktop Protocol. E come qualsiasi altra operazione ransomware, rubano e sfruttano i dati sensibili e le credenziali che ottengono dalle vittime.

Più credenziali possono raccogliere, più è probabile che possano ottenere il controllo del controller di dominio Windows della vittima una volta che hanno avuto successo con l’accesso all’attacco. Man mano che diffondono le loro operazioni attraverso la rete della vittima, raccoglieranno e ruberanno molti dati preziosi che possono acquisire e quindi li useranno per estorcere richieste di riscatto. 

Inoltre, RansomEXX ha anche creato un crittografatore Linux utilizzato per crittografare le macchine virtuali che gestiscono i server VMware ESXi poiché volevano andare oltre dal prendere di mira solo i dispositivi Windows. E dal momento che sono stati attivi sulla scena degli attacchi informatici nel corso dei mesi, ci sono state segnalazioni che questa banda di ransomware ha attaccato aziende di alto profilo come la Corporación Nacional de Telecomunicación dell’Ecuador.

Negli ultimi mesi, la banda di RansomEXX si sta impegnando di più nella propria natura. Di recente hanno attaccato la regione Lazio, le reti governative brasiliane, il Dipartimento dei trasporti del Texas (TxDOT), IPG Photonics e altro ancora.

UPDATE 18.08.2021

Il gruppo RansomEXX diffonde un leak dei dati sottratti durante l’attacco e sui forum arrivano i mirror pubblicamente scaricabili: i dettagli qui.