Il colosso degli elettrodomestici Whirlpool riconosce di essere stato colpito da un attacco ransomware a novembre, con la banda informatica Nefilim che si è presa la responsabilità dell’incidente informatico e ha affermato di aver rubato i dati aziendali.
“Il mese scorso Whirlpool Corporation ha scoperto il ransomware nel nostro ambiente. Il malware è stato rilevato e contenuto“, dice un portavoce dell’azienda a Information Security Media Group.
Whirlpool dice di non essere a conoscenza di alcuna informazione del consumatore che viene esposta a causa dell’attacco e che il ransomware non sta causando alcuna difficoltà operativa in questo momento. La società non ha fornito informazioni sull’impatto dell’attacco sui suoi sistemi e operazioni quando è avvenuto inizialmente.
La banda ransomware Nefilim – alias Nephilim – si è assunta la responsabilità dell’attacco. Brett Callow, Analista delle minacce di Emsisoft, conferma a ISMG che la banda informatica ha pubblicato due file sul suo sito di notizie wall-of-shame con informazioni che afferma provengono da Whirlpool.
“Questa fuga di notizie arriva dopo lunghe trattative e riluttanza dei dirigenti di Whirlpool Corporation a difendere gli interessi dei loro stakeholder. La sicurezza informatica di Whirlpools [sic] è molto fragile, il che ci ha permesso di violare la loro rete per la seconda volta dopo aver interrotto le trattative“, scrive Nefilim in un post sul suo sito datato 26 dicembre.
La banda ransomware non ha indicato che tipo di informazioni sta perdendo.
Whirlpool non ha rivelato alcuna informazione per quanto riguarda più di un attacco ransomware.
Storia di Nefilim
Il gruppo Nefilim è meglio conosciuto per andare dopo le organizzazioni che utilizzano la tecnologia di accesso remoto Citrix senza patch o mal protetta, quindi rubare dati, scatenare malware di crypto-locking e utilizzare la minaccia di dati esfiltrati scaricati pubblicamente per cercare di forzare il pagamento (vedi: Nefilim Ransomware Gang Tied to Citrix Gateway Hacks).
A giugno il CERT neozelandese ha emesso un avvertimento citando specificamente l’attività di Nefilim e dettagliato come conduce un attacco.
“Siamo consapevoli degli aggressori che accedono alle reti delle organizzazioni attraverso sistemi di accesso remoto, come il protocollo desktop remoto e le reti private virtuali, come un modo per creare opportunità di attacco ransomware. Stanno ottenendo l’accesso tramite password deboli, organizzazioni che non utilizzano l’autenticazione a più fattori come ulteriore livello di sicurezza o un sistema di accesso remoto che non è patchato”, dice NZ CERT.
L’agenzia ha detto che le organizzazioni colpite da un tipico attacco Nefilim vedranno:
- File con un file . NEFILIM;
- Un file chiamato NEFILIM-DECRYPT.txt può essere inserito sui sistemi interessati;
- File batch creati in C:WindowsTemp.
Tattiche di estorsione
La tattica della doppia estorsione preferita da Nefilim è diventato uno strumento mainstream tra molte bande ransomware nel 2020. La metodologia, iniziata dall’ormai presumibilmente defunta banda Maze nel 2019, ma è ora utilizzata da Ryuk, REvil / Sodinokibi, Netwalker e DoppelPaymer (Ransomware 2020: Un anno di molti cambiamenti).
“Questo approccio “monkey see, monkey do” è stato estremamente comune nel 2020, con gli attori delle minacce che cercano costantemente di espandere il loro toolkit offensivo imitando tecniche di successo utilizzate da altri gruppi criminali“, afferma Stefano De Blasi, ricercatore di minacce presso Digital Shadows.