Apple preso di mira in attacco ransomware a Quanta | Hacker chiedono 50 milioni di dollari - TechRobot

Apple preso di mira in attacco ransomware a Quanta | Hacker chiedono 50 milioni di dollari

Gli attacchi ransomware sono in aumento dallo scoppio della pandemia nel dicembre 2019. Infatti, diversi rapporti indicano che entro la fine del 2020, gli attacchi ransomware sono aumentati di almeno il 150%, e il riscatto medio richiesto è raddoppiato, arrivando a circa 170000 dollari. Gli attori malevoli di solito prendono di mira le aziende con alti fatturati a causa del potenziale per un grande incasso. È diventata anche una tendenza prendere di mira i grandi produttori di tecnologia.

Ad esempio, nel novembre 2020, Foxconn è stata presa di mira in un attacco ransomware in cui gli hacker responsabili hanno cancellato terabyte di dati di backup da oltre mille server criptati. Gli aggressori hanno chiesto 34 milioni di dollari prima di rilasciare i dati criptati. Per contestualizzare, Foxconn è il più grande produttore di apparecchiature elettroniche per aziende come Amazon, Sony, Microsoft e Apple. All’inizio di quel mese, gli hacker avevano preso di mira un altro produttore (Compal) con un attacco ransomware.

Questo dimostra semplicemente che le grandi aziende produttrici di tecnologia sono ora a rischio di attacchi ransomware più sofisticati. L’attacco più recente è avvenuto pochi giorni prima della fine di aprile 2021. Quanta, un’azienda con sede a Taiwan che produce laptop per grandi aziende tecnologiche, tra cui Apple, è stata colpita da un attacco ransomware che potrebbe costare ad Apple 50 milioni di dollari. 

Cos’è il Ransomware?

Il ransomware è una forma di malware (software malevolo) che ottiene accesso a un computer e prende di mira file o sistemi criptandoli e rendendoli inaccessibili nel tentativo di far pagare l’azienda o il proprietario per il loro rilascio. Dalla parola “ransom”, è facile comprendere l’obiettivo finale di tutti gli attacchi ransomware: far pagare alla vittima un riscatto in cambio del rilascio dei file o sistemi ostaggio. Una volta che la vittima paga, gli aggressori rilasciano una chiave di decrittazione che la vittima usa per decifrare i file o sistemi criptati.

La prima forma di attacco ransomware risale addirittura al 1989. Da allora, entità malevole hanno sfruttato i progressi tecnologici per perpetrare attacchi più sofisticati. L’evoluzione del ransomware ha visto i malintenzionati offrire servizi come Ransomware-as-a-Service (RaaS) per estendere la loro rete e capacità. Anche gli attacchi ransomware su dispositivi mobili stanno diventando una realtà, e con il ritmo al quale l’uso della tecnologia Internet of Things si sta espandendo, siamo destinati a vedere nuovi attacchi.

Il gruppo di hacker REvil prende di mira Apple tramite Quanta

Il 20 aprile 2021, mentre Apple presentava i suoi ultimi gadget nell’evento Spring Loaded, uno dei più grandi produttori di laptop al mondo è stato colpito da un attacco ransomware perpetrato da un gruppo di hacker russi noto come REvil. Quanta produce MacBook per Apple, insieme ad altri prodotti. REvil, conosciuto anche come Sodinokibi, ha mostrato prove del suo attacco riuscito pubblicando gli schemi degli ultimi prodotti di Apple, inclusi il già rilasciato MacBook Air M1 del 2020 e i nuovi design dell’iMac.

Un paio di giorni prima delle perdite di dati, un utente con il nome utente UNKN ha accennato su XSS (un popolare forum di cyber-criminalità) che un grande annuncio era in arrivo, esortando gli hacker a unirsi al gruppo. Crediamo che questo utente rappresenti il gruppo di ransomware REvil incaricato di annunciare tali notizie e reclutare nuovi affiliati per il suo programma di ransomware-as-a-service.

Quanta ha riconosciuto che l’attacco è avvenuto. Ha anche dichiarato che il suo team di sicurezza sta rispondendo all’attacco, ma non c’è un impatto significativo sulle sue operazioni commerciali. Nella dichiarazione dell’azienda, Quanta ha detto, “Abbiamo segnalato e mantenuto comunicazioni continue con le autorità di legge e di protezione dei dati pertinenti riguardo le recenti attività anomale osservate. Non c’è un impatto materiale sulle operazioni commerciali dell’azienda.” Da allora ha potenziato la sua infrastruttura di cybersecurity per prevenire che ciò accada nuovamente.

Questi aggressori hanno richiesto una somma di 50 milioni di dollari in cambio delle immagini, ma Quanta ha rifiutato di pagare, costringendoli a rivolgersi all’azienda più preziosa al mondo. È il motivo per cui il gruppo REvil ha rilasciato circa 21 immagini di schemi del MacBook lo stesso giorno dell’evento Spring Loaded di Apple; una dichiarazione che difficilmente passerà inosservata.

Ha anche minacciato di rilasciare nuovi dati ogni giorno fino a quando Apple non pagherà il riscatto e ha dato un ultimatum per il 1° maggio. REvil ha rivelato tutte queste informazioni attraverso il suo “Happy Blog”, un sito che utilizza per condividere pubblicamente le sue imprese di hacking. Apple non ha rilasciato alcuna dichiarazione riguardo l’attacco e non ha dato alcuna indicazione che pagherà il riscatto.

Una storia del gruppo di hacker REvil e delle loro imprese

Sodinokibi, comunemente noto come REvil, ha la reputazione per i suoi attacchi ransomware. Le persone nel settore della sicurezza informatica ritengono che questo gruppo sia basato in Russia a causa della sua riluttanza ad attaccare aziende russe o di proprietà statale. Credono anche che sia un ramo di un precedente gruppo malevolo–GandCrab. GandCrab è stato prolifico quanto lo è ora REvil, accumulando circa 2 miliardi di dollari in riscatti in quasi due anni. Circa nello stesso periodo in cui GandCrab ha cessato le operazioni, REvil ha iniziato a diventare prominente.

A differenza della maggior parte dei gruppi di hacker, REvil opera un modello diverso che gli consente di guadagnare di più. Utilizza un modello Ransomware-as-a-Service (RaaS) dove concede in licenza malware ad affiliati di fiducia. Poi prende una percentuale del riscatto se gli affiliati portano a termine con successo un attacco. REvil utilizza anche quello che è noto come metodo di doppia estorsione per aumentare le possibilità che le sue vittime paghino il riscatto. Questo significa che dopo aver criptato i dati, REvil trasferisce anche ciò che può ai suoi server con la minaccia di venderlo.

Se un’azienda ha dei backup, potrebbe comunque dover pagare un riscatto se il gruppo malintenzionato ha trasferito informazioni sensibili sui suoi server. C’è anche la possibilità di utilizzare un attacco DDoS sulla stessa vittima per aumentare la pressione e costringerla a pagare il riscatto. Ci si comincia a chiedere perché questo gruppo stia facendo tutto il possibile per raccogliere fondi. È per finanziare attacchi più lucrativi o semplice vecchia avidità?

Ora, diamo un’occhiata ad alcuni degli attacchi diffusi che questo gruppo ha portato avanti in passato. 

1. Governi Locali del Texas

Nelle prime ore del 16 agosto 2019, REvil ha attaccato 23 agenzie governative locali del Texas e ha richiesto un riscatto di 2,5 milioni di dollari. Le persone che lavoravano in queste agenzie non avevano accesso ai file a cui di solito avevano accesso. È stato un attacco coordinato da REvil che ha messo fuori uso i sistemi e i siti web delle agenzie. Fortunatamente, REvil non ha attaccato i loro sistemi di backup, quindi non hanno ceduto alle richieste. Dopo aver coordinato con diversi team di cybersecurity, queste agenzie sono state in grado di ripristinare l’accesso ai file e ai sistemi che il gruppo REvil aveva messo sotto riscatto.

2. Travelex

Travelex è un’azienda che si occupa di cambio valuta estera in tutto il mondo. È molto popolare negli aeroporti poiché semplifica il processo di cambio della propria valuta locale con un’altra valuta. Il 31 dicembre 2019, REvil ha ottenuto accesso alla rete di Travelex. Questo è accaduto perché Travelex utilizzava una VPN obsoleta e il gruppo REvil ha sfruttato le vulnerabilità nel software non aggiornato. Dopo essersi infiltrati nella loro rete, REvil ha diffuso un ransomware che ha messo fuori uso l’intera rete di Travelex, chiedendo un riscatto di 2,3 milioni di dollari.

Travelex non ha rivelato di aver subito un attacco ransomware. Hanno invece dichiarato che i loro sistemi erano in manutenzione. Poi, hanno pagato in segreto il riscatto e ripristinato l’accesso alla loro rete e ai sistemi. Sfortunatamente per loro, la verità è venuta a galla, perdendo così la fiducia del pubblico. È una cosa essere vittima di un attacco a causa di pessime politiche di sicurezza, ma mentire ai propri clienti e al pubblico a riguardo è un grave reato. Fino a questo momento, Travelex sta ancora affrontando le conseguenze delle sue azioni.

3. Grubman Shire Meiselas & Sacks

Nel maggio 2020, REvil ha ottenuto l’accesso a più di 750 GB di documenti legali privati. Grubman Shire Meiselas and Sacks è uno studio legale che rappresenta diverse celebrità, inclusi l’ex Presidente degli Stati Uniti Donald Trump. Inizialmente, REvil ha fissato un riscatto di 21 milioni di dollari, ma ha aumentato l’importo dopo aver visto i dati di Trump. Lo studio legale ha seguito il consiglio dell’FBI di non pagare, e REvil ha messo all’asta i dati sul Dark Web. 

Conclusione 

Gli attacchi in aumento contro le aziende che producono hardware per le principali compagnie tecnologiche dovrebbero essere motivo di preoccupazione. È evidente che queste aziende sono prese di mira per i loro legami con i giganti dell’industria tecnologica. Attacchi come questi sono dei promemoria che le aziende dovrebbero prendere la cybersecurity il più seriamente possibile perché il costo per implementare una difesa adeguata contro gli attacchi è solitamente inferiore al costo per recuperare gli asset.