Il gruppo di attori di REvil Threat esegue due nuovi attacchi
Secondo i rapporti, il gruppo di attori di minacce ransomware REvil sembra aver messo a segno due nuovi attacchi di successo. La prima delle due ultime vittime degli hacker è una società di abbigliamento di moda chiamata French Connection che commercializza i suoi prodotti con il marchio sfacciato FCUK, poiché ha sede nel Regno Unito. La seconda vittima si trova in Sud America ed è un'azienda medica brasiliana chiamata Grupo Fleury.
REvil, che è anche l'entità che gestisce il famigerato ransomware Sodinokibi in circolazione da alcuni anni, ha violato i server di backend di French Connection e ha esfiltrato informazioni personali relative ai dirigenti di alto rango dell'azienda.
Threatpost ha riferito dell'incidente, citando la pubblicazione britannica The Register e informando che i dirigenti della French Connection hanno mostrato le scansioni della loro carta d'identità personale dagli hacker come prova del loro attacco riuscito.
French Connection ha pubblicato una dichiarazione che informa dell'intrusione e ha anche affermato che la società "non ha prove" che i malintenzionati siano stati in grado di accedere a qualsiasi informazione sui clienti. Come previsto, la società ha immediatamente interrotto i sistemi interessati dalla rete più ampia quando ha scoperto la violazione e ha quindi assunto un aiuto esterno per risolvere la situazione.
L'attacco all'azienda medica brasiliana è avvenuto il 22 giugno e dal giorno successivo hanno dichiarato di essere ancora al lavoro per ripristinare la normale operatività. La dichiarazione sull'attacco è stata resa disponibile da una pubblicazione online di Rio de Janeiro.
L'attacco all'azienda medica è facile da spiegare, perché se gli hacker riuscissero a mettere le mani sui dati dei pazienti e sui risultati dei test, potrebbero facilmente estorcere denaro per non divulgarlo online. La situazione con French Connection, invece, è più interessante. Non sembra esserci stata alcuna grande richiesta di riscatto qui, o almeno non sembra probabile, visto ciò che gli hacker hanno deciso di mostrare come prova del loro attacco. Il passaggio al targeting di individui di alto rango e non dei database aziendali di un'azienda è interessante.
Threatpost ha inoltre citato l'esperto di sicurezza Dirk Schrader e ha tirato fuori un nuovo termine molto interessante: "affaticamento da ransomware". L'implicazione era che questo tipo di attacco ransomware è diventato così frequente e gli annunci di un'altra vittima di REvil, del gruppo DarkSide o di qualche altro gruppo di attori delle minacce sono diventati così frequenti, sia le aziende che la comunità della sicurezza IT stanno iniziando a diventare un po' apatiche a tutto.