fughe di dati
Alla fine dell’anno scorso sono emerse online alcune informazioni riguardanti gli attacchi alle aziende che utilizzano l’applicazione File Transfer Appliance (FTA) di Accellion, ormai obsoleta. Alcuni criminali informatici hanno sfruttato le vulnerabilità di Accellion FTA per rubare dati riservati e hanno minacciato di pubblicare queste informazioni per estorcere un riscatto dalle vittime. Purtroppo ci dispiace confermare che i cybercriminali hanno mantenuto fede alla parola data.
In cosa consiste questa vulnerabilità?
Accellion FTA è un dispositivo di rete che le aziende utilizzano per l’invio facile e veloce di file di grandi dimensioni. Con i suoi vent’anni di onorato servizio, la soluzione dovrebbe essere ritirata quest’anno, e gli sviluppatori da tempo consigliano di passare a soluzioni più moderne.
Nel dicembre 2020, la scoperta di due vulnerabilità la CVE-2021-27101 e la CVE-2021-27102, ha permesso ai cybercriminali di accedere ai file caricati sui dispositivi FTA. Le vulnerabilità sono state risolte, ma nel gennaio 2021 sono state scoperte altre due vulnerabilità (CVE-2021-27103 e CVE-2021-27104) e sono state pubblicate le relative patch.
Ciononostante, i cybercriminali sono riusciti a rubare i dati di numerosi utenti di Accellion FTA. Sono seguiti diversi articoli riguardanti le fughe di questi dati A quanto pare, non tutte le vittime hanno accettato di pagare il riscatto, e i criminali informatici hanno portato avanti la loro minaccia di condividere i dati che avevano rubato.
In che modo i cybercriminali pubblicano i dati?
Recentemente, abbiamo riscontrato e-mail di massa volte a compromettere la reputazione delle vittime agli occhi di dipendenti, clienti e partner, e ovviamente anche della concorrenza. La portata degli invii e le fonti degli indirizzi non sono note con certezza, ma sembra che i criminali informatici stessero cercando di raggiungere il maggior pubblico possibile.
L’e-mail dei criminali informatici a dipendenti, clienti, partner e concorrenza.
I messaggi esortavano i destinatari a utilizzare il browser Tor per visitare un sito .onion, e sostenevano che il sito riceve decine di migliaia di visite al giorno. Tra i presunti visitatori ci sarebbero cybercriminali di ogni sorta e giornalisti in grado di causare danni ancora maggiori alle infrastrutture e alla reputazione di un’azienda. È interessante notare che il sito appartiene al gruppo CL0P, specializzato in ransomware, anche se negli attacchi attraverso le vulnerabilità di Accellion FTA, i file non sono stati cifrati; i criminali informatici avrebbero semplicemente approfittato di questa comoda piattaforma.
Naturalmente, lo scopo è quello di intimidire altre vittime. Per inciso, sia l’e-mail che il sito web contengono dettagli per contattare i cybercriminali in modo da ottenere la rimozione dei file pubblicati, anche se non ha molto senso una volta che l’informazione è già stata resa di dominio pubblico.
Vale anche la pena notare che il sito presenta un annuncio che offre lezioni per gli amministratori per risolvere le vulnerabilità attraverso le quali sono stati rubati i dati, alla modica cifra di 250 mila dollari in bitcoin.
Offerta di aiuto alle potenziali vittime per evitare la sorte di tanti altri malcapitati.
Dubitiamo che qualcuno abbocchi. Per cominciare, gli sviluppatori hanno già rilasciato versioni aggiornate di Accellion FTA, e comunque, chiedere aiuto equivale ad ammettere che non si può chiudere la vulnerabilità, che può ancora essere sfruttata.
Come proteggere la vostra azienda da questi attacchi
In primo luogo, aggiornate Accellion FTA, o meglio, non utilizzate più questa soluzione (gli stessi sviluppatori lo consigliano).
In secondo luogo, aggiornate tutti i prodotti e servizi software con accesso a Internet. È importante farlo subito, ma effettuare anche aggiornamenti continui e tempestivi.
Infine, proteggete ogni dispositivo, sia esso una workstation, un server o una soluzione hardware/software, con un prodotto di sicurezza moderno in grado di rilevare i tentativi di sfruttamento delle vulnerabilità, comprese quelle sconosciute.
A chiunque sia vittima di estorsioni di questo tipo consigliamo sempre di non pagare il riscatto. Il recente post di Eugene Kaspersky offre una spiegazione approfondita delle diverse motivazioni.
Consigli