Data Leak Olympus: il colpo grosso di BlackMatter e la nuova strategia d’azione dei ransomware - Cyber Security 360

CYBER CRIMINE

Data Leak Olympus: il colpo grosso di BlackMatter e la nuova strategia d’azione dei ransomware

L’analisi dei dettagli del recente data leak Olympus, causato da un attacco ransomware condotto dalla gang criminale BlackMatter, ha consentito di scoprire nuove tecniche e strategie d’azione degli attori delle minacce. Ecco cosa sappiamo finora

16 Set 2021
M
Luca Mella

Cyber Security Expert

Lo scorso 11 settembre il colosso giapponese Olympus ha rilasciato un comunicato stampa agghiacciante: l’azienda ha subito un grave attacco informatico che è arrivato a compromettere il cuore di parte delle sue reti adibite alla gestione dei sistemi informativi in Europa, Medio Oriente e Africa.

Dunque, una fetta non affatto trascurabile del network aziendale del gigante tecnologico da più di sei miliardi di euro di fatturato, attivo soprattutto nei settori medicali, con la produzione di strumentazioni ad altissima tecnologia per chirurgia in endoscopia, e industriali ad altissima competitività con la manifattura di apparecchi di visione e microscopi industriali di ultima generazione.

Il comunicato stampa di Olympus in merito all’attacco informatico subito.

Le prime conseguenze del data leak Olympus

Il comunicato sul data leak Olympus è apparso inizialmente sul portale aziendale riservato alla sussidiaria europea del gruppo, con sede ad Amburgo, e recita testualmente:

Upon detection of suspicious activity, we immediately mobilized a specialized response team including forensics experts, and we are currently working with the highest priority to resolve this issue. As part of the investigation, we have suspended data transfers in the affected systems and have informed the relevant external partners.

We are currently working to determine the extent of the issue and will continue to provide updates as new information becomes available. We apologize for any inconvenience this has caused.”

Il successivo sabato 11 settembre, anche la sede centrale è stata costretta ad emanare un secondo comunicato pubblico. Evidentemente la situazione era talmente grave da non poter essere ignorata a livello di gruppo, visto il rischio concreto che le ripercussioni dell’attacco alla sussidiaria EMEA potessero ripercuotersi sull’intera holding.

E così è stato. All’apertura delle borse del lunedì successivo l’impatto è stato violento. Il titolo dell’azienda ha subito un colpo molto duro: la contrazione è arrivata a quasi l’1% nel corso delle prime ore del mattino.

La notizia dell’attacco cyber ha scosso profondamente gli investitori.

Il valore del titolo Olympus il 13 settembre 2021.

I dettagli del ransomware BlackMatter

Nelle prime ore dopo l’annuncio del data leak Olympus, dall’azienda sono trapelate sporadiche informazioni tra cui alcune indiscrezioni sul ritrovamento di una nota con la richiesta di pagamento di un riscatto: “Your network is encrypted, and not currently operational, if you pay, we will provide you the programs for decryption”. All’interno anche un link al portale su rete anonima TOR del gruppo criminale BlackMatter, una pericolosa organizzazione specializzata in attacchi a doppia estorsione.

Attacchi a doppia estorsione: cosa sono e come contrastarli con una strategia cyber

È dunque probabile che, oltre all’estorsione ransomware, dall’azienda siano stati trafugati file e documenti confidenziali, potenzialmente anche proprietà intellettuale di valore per i competitor.

BlackMatter è una gang criminale nata a luglio 2021. Tanto recente quanto controversa, perché sin dai primi momenti si dichiarava essere il successore di DarkSide, il gruppo cyber criminale che ha messo in ginocchio la costa est degli Stati Uniti con l’attacco a Colonial Pipeline, e REvil, una delle più longeve gang criminali specializzate in doppie estorsioni autore dell’attacco supply chain più grave del 2021, l’attacco a Kaseya e la compromissione di migliaia di aziende clienti.

Al di là delle dichiarazioni, una cosa è certa: il gruppo non è legato a REvil. REvil è infatti tornato operativo sui suoi tradizionali canali dopo quasi due mesi di shutdown dei sistemi a seguito del grave attacco a Kaseya.

Tuttavia, il nuovo attore criminale BlackMatter potrebbe essere legato – insieme a Groove – agli ambienti criminali limitrofi a Babuk, altro pericoloso gruppo emergente attivo da inizio 2021.

Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime

Infatti, è emerso che parte delle infrastrutture utilizzate da Babuk e BlackMatter sono in comune. In particolare, entrambi i gruppi si sono appoggiati sul medesimo servizio di storage anonimo per la pubblicazione dei grandi volumi di dati trafugati. Coincidenza? Difficile dirlo.

Quello che sappiamo è che non è prassi comune tra la cinquantina di attori di attacchi ransomware a doppia estorsione.

Infrastrutture di distribuzione file trafugati tra Babuk e Blackmatter (Fonte:S2W).

La nuova strategia d’azione dei ransomware

Al di là delle affiliazioni, BlackMatter è un gruppo estremamente pericoloso che ha condotto una campagna di reclutamento mirata all’inserimento “in organico” di criminal hacker e truffatori con accesso alle reti di grandi imprese, preferibilmente con fatturati nell’ordine dei 100 milioni di dollari/anno (o più).

E, come se non bastasse, nel mese di agosto BlackMatter ha implementato anche uno strumento di cifratura per sistemi Linux, con l’obiettivo di prendere di mira direttamente le piattaforme virtuali VMware ESXi, cuore di tantissimi data center aziendali in Italia e nel mondo.

Il che conferma una generale riorganizzazione in corso delle gang criminali mirata all’adozione di nuove strategie d’azione sempre più sofisticate e difficilmente contrastabili.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5