Atlantic.Net fornisce questo avviso di sicurezza come notizia; vogliamo rassicurare i nostri clienti sul fatto che Atlantic.Net non utilizza nessuno di questi prodotti interessati da questo exploit internamente o in nessuna delle nostre offerte di servizi.
Negli ultimi giorni sono emerse segnalazioni di quella che potrebbe rivelarsi la più grande richiesta di ransomware della storia. La vittima segnalata è Acer Inc., il colosso tecnologico multinazionale taiwanese famoso per la produzione di hardware per computer e business, inclusi laptop, computer, tablet e display visivi.
La notizia è iniziata il 19 marzo 2020 dal sito Web di tecnologia e sicurezza Bleeping Computer. Il gruppo di hacker REvil ha chiesto un riscatto di 50 milioni di dollari da Acer dopo quello che affermano essere una violazione dei dati riuscita e un attacco ransomware.
Si ritiene che REvil (precedentemente noto come Sodinokibi) sia un'operazione di ransomware-as-a-service con sede in Russia. In precedenza hanno preso di mira con successo il quartier generale britannico del gigante automobilistico Honda e lo studio legale statunitense Grubman Shire Meiselas &Sack. La violazione di Grubman ha fatto notizia a livello internazionale in quanto rappresentava molti personaggi famosi tra cui Madonna, Lady Gaga, Donald Trump e Lebron James.
Come parte della violazione di Grubman, i documenti legali sono trapelati come parte dell'estorsione, ma non hanno mai pagato il riscatto (a differenza della società britannica di valute di viaggio Travelex che avrebbe pagato REvil oltre $ 2,3 milioni).
Cosa sappiamo della violazione di Acer?
Al momento in cui scrivo, non c'è stata alcuna dichiarazione ufficiale da parte di Acer Inc. Se si deve credere alle segnalazioni, solo il sistema di posta elettronica del back-office è stato preso di mira da Acer e nessun ambiente di produzione è stato compromesso. Tuttavia, REvil ha concesso ad Acer 9 giorni per pagare una taglia di 50 milioni di dollari; questo è il più grande riscatto mai segnalato e il gruppo ha pubblicato "prove" della violazione riuscita sul loro sito Web nascosto di TOR.
Nonostante l'aumento dei servizi cloud di Exchange Online e Microsoft 365, un numero enorme di aziende gestisce ancora server farm di Microsoft Exchange locali e si ritiene che la violazione possa aver sfruttato una vulnerabilità di Microsoft Exchange scoperta di recente. A causa della natura stessa del metodo di recapito della posta elettronica di Exchange, almeno una parte dell'infrastruttura di rete deve essere esposta alla rete Internet pubblica, in genere sotto forma di DMZ o proxy perimetrale. Di conseguenza, qualsiasi vulnerabilità può potenzialmente esporre un'azienda ad attori malintenzionati.
Il 2 marzo 2021, Microsoft si è affrettata a correggere una "Vulnerabilità nell'esecuzione di codice in modalità remota di Microsoft Exchange Server" documentata in CVE-2021-26855. Il bollettino sulla sicurezza afferma che Exchange 2013, 2016 o 2019 era vulnerabile durante l'esecuzione su Windows Server 2008 R2, Server 2012, Server 2012 R2, Server 2016 e Server 2019.
Microsoft ha successivamente rilasciato uno strumento di patching su GitHub per gli amministratori di sistema. Lo strumento esegue la scansione dell'ambiente per vedere se l'infrastruttura è vulnerabile. Se la scansione conferma che il sistema è vulnerabile, gli aggiornamenti di sicurezza vengono installati.
Qual è la prossima mossa?
A meno che Acer Inc. non diventi pubblica, potremmo non conoscere mai la vera portata della violazione, ma per richiedere $ 50 milioni, molti si aspettano che il gruppo di hacker disponga di alcuni dati preziosi sull'azienda. In caso contrario, gli hacker sono solo ottimisti nel tentativo di estorcere denaro.
Con Acer a labbra serrate, questo è un vero e proprio caso di "aspetta e vedrai". Hanno pagato il riscatto? Sono stati addirittura hackerati? Sinceramente, nessuno lo sa ancora e, sebbene alcune prove suggerite siano state rilasciate, non c'è modo di convalidare se siano autentiche.
Se la tua azienda è preoccupata per la sicurezza informatica, non esitare a contattare Atlantic.Net. Siamo specialisti in servizi gestiti, hosting cloud e conformità HIPAA. La sicurezza della nostra infrastruttura è di fondamentale importanza e lavoriamo duramente per assicurarci di disporre dei migliori processi di sicurezza in atto.
Non c'è dubbio che questo attacco informatico passerà alla storia e siamo preoccupati per i nostri amici del settore che potrebbero risentirne. Atlantic.Net ha una suite completa di Managed Security Services, per aiutare a essere proattivi e prepararsi in anticipo per qualsiasi problema di sicurezza. Mettiti in contatto oggi.