Entrust ha subito un attacco ransomware nel mese di giugno. Il gruppo LockBit ha confermato la scorsa settimana di essere il responsabile, pubblicando pochi giorni dopo alcuni documenti rubati dai server dell’azienda statunitense. Il sito Tor usato per diffondere i dati è stato colpito da un attacco DDoS, ma non sono noti gli autori.
Offline il sito Tor di LockBit
I cybercriminali hanno iniziato a pubblicare alcuni screenshot sul sito Tor per dimostrare di essere in possesso dei documenti di Entrust. Si tratta della classica tattica messa in atto per spingere l’azienda a pagare il riscatto. Un rappresentante del gruppo LockBit ha comunicato che il sito Tor è offline a causa di un attacco DDoS (Distributed Denial of Service).
Lockbit: "We're being DDoS'd because of the Entrust hack"
vx-underground: "How do you know it's because of the Entrust breach?"
Lockbit: pic.twitter.com/HUO2hdTbwz
— vx-underground (@vxunderground) August 21, 2022
L’attacco è iniziato immediatamente dopo la pubblicazione dei dati. Secondo i cybercriminali, l’autore è sicuramente qualcuno collegato a Entrust. Nelle richieste HTTPS è stato aggiunto il messaggio “DELETE_ENTRUSTCOM_MOTHERFUCKERS” per chiedere la cancellazione dei dati dal sito Tor. Un ricercatore di Cisco Talos ha scoperto che sono state effettuate 400 richieste al secondo da oltre 1.000 server. Il gruppo LockBit ha comunicato che i dati di Entrust verranno condivisi sulle reti P2P (torrent).
La somma chiesta come riscatto era 8 milioni di dollari, successivamente diminuita a 6,8 milioni di dollari, ma Entrust non ha pagato nulla. Al momento non è noto l’autore dell’attacco DDoS. L’azienda statunitense non ha rilasciato nessuna dichiarazione ufficiale.