Diverse agenzie governative negli Stati Uniti hanno emesso notifiche separate di violazione dei dati relative a un attacco ransomware mirato che ha provocato la fuga di informazioni dall’Automatic Funds Transfer Service (AFTS), una piattaforma di elaborazione dei pagamenti e verifica degli indirizzi ampiamente utilizzata dalle organizzazioni governative.
AFTS gestisce una notevole quantità di dati sensibili, quindi questo incidente potrebbe avere conseguenze disastrose uguali per individui e organizzazioni.
Secondo questi rapporti, l’infezione ha colpito i sistemi governativi in varie città negli stati di Washington e California, compresi i dipartimenti dei veicoli e gli uffici del governo locale.
A causa della grande quantità di dati potenzialmente sensibili coinvolti in questo incidente, i governi locali interessati hanno implementato alcune misure di sicurezza, a partire dalla segnalazione dell’attacco alle autorità federali. Questi rapporti menzionano che le informazioni compromesse possono includere nomi completi, indirizzi, indirizzi e-mail, numeri di telefono, numeri di targa e documenti finanziari, tra le altre informazioni.
Tutto indica che gli attacchi sono avvenuti all’inizio di febbraio, quando un gruppo di autori di minacce identificati come “Cuba Ransomware” è riuscito a infettare le reti compromesse per rubare informazioni sensibili e crittografare i sistemi interessati.
Questo attacco ha causato un’interruzione significativa delle normali operazioni AFTS, quindi il sito Web AFTS è temporaneamente inattivo e la gestione dei pagamenti funziona a un ritmo più lento: “Il sito Web AFTS e tutti i servizi relativi all’elaborazione dei pagamenti devono affrontare problemi tecnici”, mostra un avviso pubblicato sul sito Web dell’azienda.
Come altri incidenti di ransomware, gli operatori di Cuba hanno rubato informazioni sensibili prima di crittografare i sistemi interessati, probabilmente con l’intenzione di venderle in forum illegali. Dopo un’infezione iniziale, Cuba inizia a diffondersi sulla rete compromessa, rubando le credenziali di accesso e attivando la crittografia dei sistemi attaccati. Sul loro sito web, utilizzato per inviare minacce alle vittime, gli hacker affermano di aver rubato documenti finanziari, corrispondenza interna ed esterna e bilanci aziendali, tra le altre cose.
Nel caso in cui le organizzazioni colpite ignorino la richiesta di riscatto, gli esperti di sicurezza informatica ritengono che gli hacker potrebbero pubblicare queste informazioni gratuitamente su varie piattaforme illegali. Gli operatori di ransomware Cuba potrebbero anche implementare campagne aggiuntive utilizzando informazioni compromesse, comprese complesse campagne di phishing e ingegneria sociale.