Anche i POS bersagliati dai ransomware

Gli aggressori stanno compromettendo le grandi aziende con il malware Cobalt Strike, e quindi la distribuzione del ransomware Sodinokibi.

Business Tecnologie/Scenari Vulnerabilità
Come sottolineò tempo fa Kaspersky, i computer non sono le uniche vittime dei ransomware. L'ennesima riconferma è il fatto che i criminali informatici dietro ai recenti attacchi del ransomware Sodinokibi stanno attivamente scansionando le reti delle vittime per infettare i sistemi PoS.

I ricercatori ritengono che questa è una nuova tattica progettata per consentire agli aggressori di ottenere il più grande botto per il loro dollaro - pagamenti di riscatto e dati della carta di credito. L'allarme arriva dai ricercatori di Broadcom, secondo i quali i settori maggiormente a rischio sono servizi, cibo e sanità. 

Il fatto è che il software PoS è comunemente installato sui terminali delle carte di credito presso negozi, ristoranti e rivenditori. L'attacco è perfetto per sottrarre informazioni sulle carte di credito dei clienti. Quello che non è ancora chiaro è se gli aggressori stiano bersagliando i PoS per crittografarli come parte dell'attacco ransomware, o solo per rubare i dati delle carte di credito e aumentare i proventi delle azioni criminali.
sodinokibi blog ransom noteNella loro analisi i ricercatori precisano che molti degli elementi rilevati negli attacchi sono tattiche tipiche di Sodinokibi. A partire dalla compromissione inziale della rete aziendale con il malware Cobalt Strike. L'unico elemento di novità è il coinvolgimento del software PoS. Oltre tutto, lo strumento usato è facilmente scaricabile da Pastebin.

Sodinokibi e i POS

Ricordiamo che Sodinokibi, conosciuto anche come REvil, è in circolazione da aprile 2019 e ha messo a segno vari attacchi, tutti di alto profilo. Tra i più celebri ricordiamo Travelex. È uno strumento pensato per operare come Ransomware-as-a-Service (RaaS), quindi i gestori affittano il codice ai gruppi affiliati, che lo usano per effettuare materialmente gli attacchi. I profitti vengono poi divisi tra gli affiliati e i gestori.

Le aziende di cui sono stati attaccati i sistemi POS rientrano nel modello originario: sono multinazionali leader nel proprio settore (cibo e servizi) ritenute in grado di pagare l'elevato riscatto chiesto dagli aggressori. Solo una usciva dallo scherma: era un'azienda sanitaria, e quella condotta era un'operazione più piccola.

Secondo gli esperti, il coinvolgimento dei POS potrebbe essere avvenuto proprio per accertarsi che le potenziali vittime disponessero del denaro sufficiente per pagare il riscatto. Infatti, la scansione POS è avvenuta prima della diffusione del ransomware. Oppure la scansione serviva a capire se si poteva trarre profitto dall'attacco in un altro modo. 

In attesa di maggiori dettagli, l'unica conclusione che si può trarre al momento è che i cyber criminali che utilizzano Sodinokibi sono qualificati e non danno alcun segno di voler ridurre il numero degli attacchi.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Come custodire al meglio i dati, dal backup in poi

Speciale

L'esigenza di una nuova cyber security

Speciale

Cloud Security: rischi e tecnologie per mettere in sicurezza il cloud

Speciale

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Speciale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Calendario Tutto

Nov 25
IDC Digital Forum: Multicloud 2020
Nov 26
Dell Technologies Forum Italia 2020
Dic 03
Dell Technologies Forum Italia 2020
Dic 10
Grande Slam 2020 Digital Edition

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori