giovedì 1 aprile 2021
Il ransomware Ragnarock colpisce ancora in Italia: sotto ricatto il famoso marchio di moda milanese Boggi Milano
Il famoso brand di abbigliamento maschile Boggi Milano è stato colpito da un attacco ransomware: sembra che siano stati sottratti anche 40GB di dati, compresi i dati dei dipendenti e le loro buste paghe. Boggi Milano, fondata nel 1939 e operante con 200 negozi in oltre 39 paesi, ha confermato l'attacco, specificando che sull'incidente sono in corso delle indagini e che l'attacco non dovrebbe comportare un impatto significativo sull'azienda.
Non sono trapelate ulteriori informazioni, ma nel dark web è comparsa la rivendicazione: il team di attaccanti dietro il ransomware Ragnarock ha rivendicato l'attacco sul proprio blog, specificando di aver preso di mira i server di Boggi Milano e di aver rubato 40GB di file, compresi file sulle risorse umane e sui salari dei dipendenti.
Di Ragnarock abbiamo parlato recentemente, visto che pur avendo debuttato piuttosto recentemente sulle scene del cybercrime, ha già mietuto varie vittime in Italia: Boggi è l'ennesima vittima.
Fonte: leak site di Ragnarock
Fonte: leak site di Ragnarock
Per approfondire > Il ransomware Ragnarock colpisce in Italia: qualche info tecnica
Le analisi dei ricercatori hanno fornito importanti informazioni su questa minaccia, che pare specializzata nell'attaccare i server Citrix ADC vulnerabili. In dettaglio gli attaccanti sfruttano la già nota vulnerabilità CVE-2019-19781 per accedere ai sistemi bersaglio e installare quindi Ragnarock. Quando l'attaccante riesce a compromettere un dispositivo Citrix ADC, vengono subito scaricati ed eseguiti una serie di script che ricercano nella rete computer Windows che presentano la vulnerabilità EternalBlue (anche questa patchata da tempo). Se tale vulnerabilità viene individuata e l'exploit ha successo, viene successivamente iniettata una DLL che scarica e installa il ransowmare.
La vulnerabilità CVE-2019-19781
Per quanto non sia possibile escludere altri vettori di attacco, la maggior parte delle infezioni del ransomware Ragnarock originano dall'exploit della vulnerabilità CVE-2019-19781 che è presente nelle applicazioni Citrix Application Delivery Controller (ADC) e Citrix Gateway e nell'appliance Citrix SD-WAN WANOP.
Da parte sua, Citrix è già corsa ai ripari rendendo disponibile la versione 10.5 dell'ADC, che contiene il fix permanente per questa vulnerabilità (link di riferimento per la problematica qui) .
La routine di criptazione di Ragnarock è del tutto simile a quella di molti altri ransomware e non presenta particolarità. Quando cripta i file usa la criptazione AES e la chiave generata sarà a sua volta criptata con una chiave di criptazione RSA correlata. In questo modo soltanto gli sviluppatori del ransomware hanno la facoltà di decriptare la chiave di criptazione della vittima.
Ogni file criptato vedrà l'aggiunta dell'estensione .ragnarock al nome del file: ad oggi non esistono modi conosciuti per risolvere la criptazione senza il supporto degli attaccanti. Chi non ha quindi un backup disponibile, non potrà ripristinare dati e sistemi.