Mentre gli appassionati di football americano attendevano l’inizio del Super Bowl 2022 (vinto dai Los Angeles Rams sui Cincinnati Bengals), un altro team californiano era impegnato nella sfida contro BlackByte. Il ransomware ha colpito la rete aziendale dei San Francisco 49ers, impedendo l’accesso ai file. I cybercriminali hanno minacciato di pubblicare i dati rubati se non verrà pagato il riscatto.
Attacco ransomware contro i San Francisco 49ers
I San Francisco 49ers, vincitori di cinque Super Bowl, hanno incontrato un avversario più ostico rispetto ai team avversari. L’attacco ransomware ha colpito una parte della rete IT, provocando il blocco dei sistemi. Nel comunicato ufficiale viene specificato che il problema è limitato alla rete aziendale e non a quella del Levi’s Stadium. L’attacco è stato subito segnalato alle forze dell’ordine, mentre società di sicurezza esterne hanno fornito assistenza.
Il team non parla di ransomware, ma il gruppo BlackByte ha confermato l’attacco sul dark web. I cybercriminali hanno sottratto le fatture del 2020, creando un archivio di circa 292 MB. Non è noto il riscatto chiesto, ma è probabile la diffusione online dei dati se non verrà pagato.
BlackByte è meno attivo rispetto ad altri gruppi. Tuttavia hanno messo a segno diversi attacchi con successo. L’installazione del ransomware avviene dopo aver “bucato” la rete aziendale sfruttando note vulnerabilità. All’inizio di dicembre 2021 avevano colpito alcune reti aziendali sfruttando la vulnerabilità ProxyShell di Microsoft Exchange.
I cybercriminali hanno commesso però uno sbaglio ad ottobre 2021, utilizzando la stessa coppia di chiavi AES per cifratura e decifratura. Ciò ha permesso a Trustwave di scoprirle e di rilasciare un tool per recuperare i file. Ovviamente il “bug” è stato prontamente risolto.