Il gigante IT francese Sopra Steria colpito dal ransomware Ryuk

Il 20 ottobre 2020, il gigante francese dei servizi IT Sopra Steria ha subito un attacco informatico che, secondo quanto riferito, ha crittografato parti della sua rete con il ransomware Ryuk.

Sopra Steria è un'azienda europea di tecnologia dell'informazione con 46.000 dipendenti in 25 paesi in tutto il mondo. L'azienda fornisce un'ampia gamma di servizi IT, tra cui consulenza, integrazione di sistemi e sviluppo software.

Il 21 ottobre Sopra Steria ha comunicato di aver subito un attacco informatico la sera del 20 ottobre, ma ha fornito pochi dettagli sull'attacco.

Segnalato attacco ransomware Ryuk

Una fonte familiare con l'attacco ha detto a BleepingComputer che la rete Sopra Steria è stata crittografata da Ryuk ransomware, lo stesso gruppo che ha infettato i servizi sanitari universali.

Numerose fonti hanno anche riferito al sito web IT francese LeMagIT che dietro l'attacco c'erano gli autori di Ryuk ransomware.

Questo gruppo di hacker è noto per le sue infezioni TrickBot e BazarLoader che consentono agli autori di accedere a una rete compromessa e distribuire le infezioni ransomware Ryuk o Conti.

BazarLoader viene sempre più utilizzato negli attacchi Ryuk contro obiettivi di alto valore a causa della sua natura furtiva ed è meno rilevato di TrickBot dal software di sicurezza.

Una volta installato, BazarLoader consentirà agli autori delle minacce di accedere da remoto al computer della vittima e utilizzarlo per compromettere il resto della rete.

Dopo aver ottenuto l'accesso a un controller di dominio Windows, gli aggressori distribuiscono il ransomware Ryuk sulla rete per crittografare tutti i suoi dispositivi, come illustrato nel diagramma sopra.

Per il momento sembra che Sopra Steria, come da loro comunicato, "non abbia ulteriori dettagli da condividere".