Black Cat Ransomware Gang rivendica 80 GB di dati Reddit rubati

A febbraio, Reddit, la piattaforma di aggregazione di notizie sociali, ha subito una violazione della sicurezza in cui persone non autorizzate hanno ottenuto l'accesso a documenti interni, codice e alcuni sistemi aziendali.

La società ha rivelato di essere stata vittima di un attacco sofisticato e mirato il 5 febbraio 2023. L'attacco ha assunto la forma di una campagna di phishing altamente mirata diretta ai dipendenti di Reddit. È importante notare che le password e gli account degli utenti non sono stati compromessi in questo incidente.

I messaggi di spear-phishing utilizzavano una tattica per reindirizzare gli utenti a un sito Web che imitava il gateway intranet dell'azienda. La pagina di destinazione di questo sito Web ingannevole è stata progettata per indurre le vittime a fornire le proprie credenziali di accesso e i token di autenticazione di secondo fattore.

Secondo un avviso rilasciato dalla società, la campagna di phishing è stata scoperta alla fine del 5 febbraio 2023 (PST). Gli aggressori hanno utilizzato messaggi plausibili per indirizzare i dipendenti al sito Web clone del gateway intranet di Reddit, con l'obiettivo di rubare le loro informazioni di accesso e i token di secondo fattore.

Una volta che gli aggressori hanno ottenuto le credenziali di un singolo dipendente, sono stati in grado di ottenere l'accesso a determinati documenti interni, codice, dashboard interni e sistemi aziendali. È importante notare che i sistemi di produzione primari dell'azienda non sono stati compromessi.

L'avviso afferma inoltre che l'esposizione era limitata ad alcune informazioni di contatto di contatti e dipendenti aziendali attuali ed ex, nonché informazioni limitate sull'inserzionista. L'indagine iniziale condotta dai team di sicurezza, ingegneria e scienza dei dati di Reddit non ha trovato prove che suggerissero l'accesso, la pubblicazione o la distribuzione online di dati non pubblici.

Dopo aver scoperto l'incidente, il dipendente interessato ha auto-segnalato il tentativo di phishing, portando a un'indagine interna per valutare l'entità della violazione. Il team di sicurezza di Reddit ha prontamente risposto all'incidente bloccando l'accesso degli intrusi.

Successivamente, la banda di ransomware BlackCat/ALPHV ha rivendicato la responsabilità dell'attacco informatico su Reddit a febbraio. Il gruppo sostiene di aver rubato 80 GB di dati (compressi) dalla piattaforma. Hanno tentato di contattare Reddit due volte, il 13 aprile e il 16 giugno, ma senza successo.

Black Cat pubblica rivendicazioni di 80 GB rubati da Reddit

Il gruppo ransomware ha pubblicato un messaggio sul suo sito di fuga di dati Tor, affermando di aver fatto irruzione su Reddit il 5 febbraio 2023 e di aver acquisito 80 gigabyte di dati. Hanno menzionato due volte l'invio di e-mail a Reddit, ma non hanno tentato di determinare l'esatta natura dei dati rubati. Inoltre, il gruppo ha criticato Steve Huffman, CEO di Reddit, per le sue azioni e ha fatto riferimento a casi precedenti che coinvolgono leader aziendali durante eventi di società pubbliche. Hanno espresso la fiducia che Reddit non avrebbe pagato alcun riscatto per i dati rubati e sembravano ansiosi che il pubblico avesse accesso alle statistiche e alle informazioni riservate che avevano ottenuto.

Il gruppo BlackCat/ALPHV chiede 4,5 milioni di dollari per eliminare i dati rubati. Questa organizzazione criminale informatica è attiva dal novembre 2021 e ha preso di mira varie vittime, tra cui SOLAR INDUSTRIES INDIA (un produttore di esplosivi industriali), NJVC (un appaltatore della difesa statunitense), Creos Luxembourg SA (una società di gasdotti), Moncler (un gigante della moda) , Swissport, NCR e Western Digital.

Le richieste di riscatto di questo gruppo sono variate, da decine di migliaia di dollari a decine di milioni di dollari, a seconda della vittima.