Acer ha subito un attacco ransomware da parte del gruppo REvil, lo stesso responsabile dell’attacco contro Travelex (che ha pagato un riscatto di circa 2,3 milioni di dollari). Nel caso dell’azienda taiwanese è stata chiesta la cifra record di 50 milioni di dollari. I cybercriminali hanno minacciato di diffondere i file rubati sul dark web.
Ransomware per Exchange Server?
In base alle prime informazioni sembra che l’attacco ransomware sia stato effettuato sfruttando le vulnerabilità di Exchange Server (note come ProxyLogon). Microsoft ha rilasciato le patch, ma ci sono ancora migliaia di sistemi vulnerabili in tutto il mondo.
Il target dell’attacco è stata la rete di back-office. I cybercriminali hanno pubblicato sul dark web alcuni screenshot che mostrano i file rubati dai computer di Acer (fogli di calcolo finanziari, estratti conto, comunicazioni bancarie e altri) e la pagina con la richiesta di riscatto da pagare entro 8 giorni in Monero.
Secondo Bleeping Computer, un rappresentante di REvil ha proposto uno sconto del 20% se il pagamento fosse arrivato entro mercoledì scorso. In cambio il gruppo avrebbe fornito il tool per decifrare i file e cancellato i file rubati.
Acer non ha confermato l’attacco ransomware, ma ha parlato di “situazioni anomali“. Questo è il comunicato ufficiale:
Acer monitora regolarmente i propri sistemi IT e contro la maggior parte degli attacchi informatici è ben difesa. Le aziende come noi sono costantemente sotto attacco e abbiamo segnalato recenti situazioni anomali alle forze dell’ordine e alle autorità per la protezione dei dati in più paesi. Abbiamo costantemente migliorato la nostra infrastruttura di sicurezza informatica per proteggere la continuità aziendale e l’integrità delle nostre informazioni. Esortiamo tutte le aziende e le organizzazioni a seguire le migliori pratiche e le discipline di sicurezza informatica, e prestare attenzione a qualsiasi anomalia dell’attività di rete.
Ad un’ulteriore richiesta di chiarimenti, Acer ha risposto che le indagini sono in corso e pertanto non verranno forniti altri dettagli per motivi di sicurezza.