▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Anche i POS bersagliati dai ransomware

Gli aggressori stanno compromettendo le grandi aziende con il malware Cobalt Strike, e quindi la distribuzione del ransomware Sodinokibi.

Business Tecnologie/Scenari Vulnerabilità
Come sottolineò tempo fa Kaspersky, i computer non sono le uniche vittime dei ransomware. L'ennesima riconferma è il fatto che i criminali informatici dietro ai recenti attacchi del ransomware Sodinokibi stanno attivamente scansionando le reti delle vittime per infettare i sistemi PoS.

I ricercatori ritengono che questa è una nuova tattica progettata per consentire agli aggressori di ottenere il più grande botto per il loro dollaro - pagamenti di riscatto e dati della carta di credito. L'allarme arriva dai ricercatori di Broadcom, secondo i quali i settori maggiormente a rischio sono servizi, cibo e sanità. 

Il fatto è che il software PoS è comunemente installato sui terminali delle carte di credito presso negozi, ristoranti e rivenditori. L'attacco è perfetto per sottrarre informazioni sulle carte di credito dei clienti. Quello che non è ancora chiaro è se gli aggressori stiano bersagliando i PoS per crittografarli come parte dell'attacco ransomware, o solo per rubare i dati delle carte di credito e aumentare i proventi delle azioni criminali.
sodinokibi blog ransom noteNella loro analisi i ricercatori precisano che molti degli elementi rilevati negli attacchi sono tattiche tipiche di Sodinokibi. A partire dalla compromissione inziale della rete aziendale con il malware Cobalt Strike. L'unico elemento di novità è il coinvolgimento del software PoS. Oltre tutto, lo strumento usato è facilmente scaricabile da Pastebin.

Sodinokibi e i POS

Ricordiamo che Sodinokibi, conosciuto anche come REvil, è in circolazione da aprile 2019 e ha messo a segno vari attacchi, tutti di alto profilo. Tra i più celebri ricordiamo Travelex. È uno strumento pensato per operare come Ransomware-as-a-Service (RaaS), quindi i gestori affittano il codice ai gruppi affiliati, che lo usano per effettuare materialmente gli attacchi. I profitti vengono poi divisi tra gli affiliati e i gestori.

Le aziende di cui sono stati attaccati i sistemi POS rientrano nel modello originario: sono multinazionali leader nel proprio settore (cibo e servizi) ritenute in grado di pagare l'elevato riscatto chiesto dagli aggressori. Solo una usciva dallo scherma: era un'azienda sanitaria, e quella condotta era un'operazione più piccola.

Secondo gli esperti, il coinvolgimento dei POS potrebbe essere avvenuto proprio per accertarsi che le potenziali vittime disponessero del denaro sufficiente per pagare il riscatto. Infatti, la scansione POS è avvenuta prima della diffusione del ransomware. Oppure la scansione serviva a capire se si poteva trarre profitto dall'attacco in un altro modo. 

In attesa di maggiori dettagli, l'unica conclusione che si può trarre al momento è che i cyber criminali che utilizzano Sodinokibi sono qualificati e non danno alcun segno di voler ridurre il numero degli attacchi.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter