4 Agosto 2020 - Tempo di lettura: 14 minuti
Gli operatori del ransomware Maze hanno pubblicato oggi decine di GB di dati interni dalle reti dei giganti aziendali LG e Xerox a seguito di due tentativi di estorsione falliti.
Gli hacker hanno fatto trapelare 50,2 GB che dichiarano essere stati rubati dalla rete interna di LG e 25,8 GB di dati Xerox.
Mentre LG ha rilasciato una dichiarazione generica a ZDNet a giugno, nessuna delle due società ha voluto parlare in modo approfondito dell'incidente di oggi.
Entrambe le fughe di oggi sono state prese in giro dalla fine di giugno, quando gli operatori del ransomware Maze hanno creato voci per ciascuna delle due società sul loro "portale delle perdite".
La banda Maze è principalmente nota per la sua omonima stringa di ransomware e di solito opera violando le reti aziendali, rubando prima i file sensibili, crittografando i dati in secondo luogo e chiedendo un riscatto per decrittografare i file.
Se una vittima rifiuta di pagare il canone per decrittografare i propri file e decide di ripristinare dai backup, la banda Maze crea una voce su un "sito Web" e minaccia di pubblicare i dati sensibili della vittima in un secondo tentativo di riscatto / estorsione.
Alla vittima vengono quindi concesse alcune settimane per riflettere sulla sua decisione, e se le vittime non si arrendono durante questo secondo tentativo di estorsione, la banda del labirinto pubblicherà i file sul suo portale.
LG e Xerox sono in quest'ultima fase, dopo aver apparentemente rifiutato di soddisfare le richieste della banda Maze.
ZDNet sta monitorando entrambi gli incidenti da quando sono stati inizialmente annunciati sul sito Web Maze a fine giugno.
Sulla base di schermate condivise dalla banda Maze il mese scorso e di campioni di file scaricati e rivisti oggi da ZDNet, i dati sembrano contenere il codice sorgente per il firmware di origine cloused di vari prodotti LG, come telefoni e laptop.
In una e-mail di giugno, la banda di Maze ha detto a ZDNet di non aver eseguito il proprio ransomware sulla rete di LG, ma hanno semplicemente rubato i dati proprietari dell'azienda e hanno scelto di saltare alla seconda fase dei loro tentativi di estorsione.
"Abbiamo deciso di non eseguire [the] Maze [ransomware] perché i loro clienti sono socialmente significativi e non vogliamo creare interruzioni per le loro operazioni, quindi abbiamo solo esfiltrato i dati", ha detto la banda Maze a ZDNet tramite un modulo di contatto sul loro sito di furti.
Quando è stato contattato per un commento a giugno, il team di sicurezza di LG ha detto a ZDNet che avrebbero esaminato l'incidente e avrebbero segnalato qualsiasi intrusione alle autorità. In un'e-mail di follow-up inviata oggi, dopo che la banda di Maze ha pubblicato oltre 50 GB di file dell'azienda, il team di sicurezza ha respinto la nostra richiesta di commento nei confronti del suo team di comunicazione. Quando abbiamo contattato il team delle comunicazioni, la nostra e-mail è rimbalzata, in modo simile a quanto accaduto a giugno.
Ma mentre abbiamo un'idea di cosa sia successo con l'attacco Maze su LG, le cose sono molto più oscure quando si tratta di Xerox.
La società non ha restituito richieste di commento inviate a giugno e oggi.
Non è chiaro quali sistemi interni siano stati crittografati dalla banda Maze, o se i file siano stati rubati e riscattati senza crittografia, in modo simile all'incidente di LG.
Sulla base di una rapida revisione dei dati trapelati oggi online, sembra che la banda di Maze abbia rubato i dati relativi alle operazioni di assistenza ai clienti. Al momento della stesura del documento, abbiamo trovato informazioni relative ai dipendenti Xerox; tuttavia, non abbiamo ancora trovato i file che contengono dati sui clienti Xerox, anche se si tratta di una grande quantità di informazioni e la revisione di tutto ciò richiederà tempo.
In un'intervista con Bad Packets, la società di intelligence sulle minacce a giugno, Troy Mursch, il co-fondatore dell'azienda, ha dichiarato a ZDNet che entrambe le società gestivano server Citrix ADC che in un punto o nell'altro erano rimasti senza patch e vulnerabili online - secondo le scansioni Internet della sua azienda .
I server erano vulnerabili alla vulnerabilità CVE-2019-19781, che Mursch ha descritto come "il vettore preferito di compromesso di Maze".
Ironia della sorte, lo stesso giorno in cui la banda Maze ha fatto trapelare file LG sul suo portale di perdite, la società di intelligence sulle minacce Shadow Intelligence ha detto a ZDNet in una e-mail che un altro hacker stava vendendo l'accesso al centro di ricerca e sviluppo (R&S) di LG America su un forum di hacking.
Il prezzo richiesto era compreso tra $ 10.000 e $ 13.000, secondo gli screenshot condivisi con ZDNet.