Un cyberattacco “in corso” contro il gigante tecnologico giapponese Olympus è stato causato da un gruppo russo di ransomware sanzionato dal governo degli Stati Uniti, secondo due persone a conoscenza dell’incidente.

Una nuova variante di malware nota come Macaw è stata utilizzata nell’attacco iniziato il 10 ottobre, che ha criptato i sistemi di Olympus negli Stati Uniti, in Canada e in America Latina. Macaw è una variante del malware WastedLocker, entrambi creati da Evil Corp. un gruppo criminale con sede in Russia che è stato soggetto a sanzioni del Tesoro degli Stati Uniti nel 2019.

È il secondo attacco ransomware a colpire l’azienda in altrettanti mesi, dopo che le sue reti in Europa, Medio Oriente e Africa sono state messe offline dal gruppo ransomware BlackMatter a settembre. (BlackMatter e Evil Corp. non sono noti per essere collegati).

“Olympus è stata colpita da BlackMatter il mese scorso e poi colpita da Macaw una settimana fa o giù di lì”, ha detto a TechCrunch Allan Liska, un analista senior delle minacce alla società di sicurezza Recorded Future. Liska ha detto che il malware Macaw lascia una nota di riscatto sui computer violati che sostiene di aver rubato i dati delle sue vittime.

Olympus ha detto in una dichiarazione martedì che l’azienda stava indagando sulla “probabilità di esfiltrazione dei dati”, una tecnica comune dei gruppi ransomware conosciuta come “doppia estorsione”, dove gli hacker rubano i file prima di criptare la rete della vittima e minacciano di pubblicare i file online se il riscatto per decifrare i file non viene pagato.

Raggiunta mercoledì, la portavoce di Olympus Jennifer Bannan ha rifiutato di rispondere alle nostre domande o di dire se la società ha pagato il riscatto.

“Nell’interesse della sicurezza del nostro sistema, dei nostri clienti e dei loro pazienti, non commenteremo gli attori criminali e le loro eventuali azioni. Siamo impegnati a fornire notifiche appropriate alle parti interessate colpite”, ha detto l’azienda in una dichiarazione.

Le sanzioni del Tesoro rendono più difficile per le aziende con sede o operanti negli Stati Uniti di pagare un riscatto per ottenere i loro file indietro, dal momento che i cittadini statunitensi sono “generalmente proibito” di effettuare transazioni con entità sanzionate. La Evil Corp. ha rinominato e modificato il suo malware diverse volte per aggirare le sanzioni statunitensi.

Bloomberg ha riferito mercoledì che il malware Macaw è stato utilizzato anche per causare una diffusa interruzione la scorsa settimana al Sinclair Broadcast Group, che possiede o gestisce 185 stazioni televisive in più di 80 mercati. Sinclair ha detto in una dichiarazione lunedì che mentre alcuni dati sono stati rubati dalla rete di Sinclair, non era chiaro esattamente quali informazioni sono state prese.

Evil Corp. ha anche lanciato attacchi a Garmin, che ha causato un’interruzione di quasi una settimana dopo un attacco ransomware nel 2020, così come gigante delle assicurazioni CNA.

Source link