La squadra NFL dei San Francisco 49ers è stata colpita da un grave attacco ransomware il giorno del Super Bowl.
L'organizzazione ha confermato a ZDNet di essere stata attaccata dal gruppo ransomware BlackByte, ma fortunatamente l'attacco è stato piuttosto limitato.
In una dichiarazione che conferma l'incidente, i 49ers hanno affermato di "recentemente essere venuti a conoscenza di un incidente di sicurezza della rete" che ha interrotto la loro rete di computer aziendale, ma niente di più.
Fughe di dati
"Dopo aver appreso dell'incidente, abbiamo immediatamente avviato un'indagine e preso provvedimenti per contenere l'incidente. Sono state assunte società di sicurezza informatica di terze parti per assisterci e la polizia è stata informata", aggiunge la nota.
"Mentre l'indagine è in corso, riteniamo che l'incidente sia limitato alla nostra rete IT aziendale; al momento, non abbiamo alcuna indicazione che questo incidente coinvolga sistemi esterni alla nostra rete aziendale, come quelli collegati alle operazioni del Levi's Stadium. "o a possessori di biglietti. Mentre l'indagine continua, stiamo lavorando diligentemente per ripristinare i sistemi coinvolti nel modo più rapido e sicuro possibile."
Gli operatori di ransomware hanno un sito web trapelato che pubblicizza dati rubati da endpoint compromessi che intendono rilasciare al pubblico, e i dati dei San Francisco 49ers compaiono sul sito sabato sera, poche ore prima del Super Bowl.
ZDNet suggerisce anche che l'FBI probabilmente era a conoscenza dell'hacking in anticipo, poiché le forze dell'ordine hanno emesso un avvertimento su BlackByte solo un giorno prima che l'incidente diventasse pubblico.
"A partire da novembre 2021, il ransomware BlackByte ha compromesso diverse società statunitensi e straniere, comprese entità in almeno tre settori di infrastrutture critiche statunitensi (strutture governative, finanza, alimentazione e agricoltura). BlackByte è un gruppo RaaS (ransomware). come servizio) che crittografa i file su sistemi host Windows compromessi, inclusi server fisici e virtuali", ha avvertito l'FBI.
"Alcune vittime hanno riferito che gli autori hanno utilizzato una vulnerabilità nota in Microsoft Exchange Server come un modo per ottenere l'accesso alle loro reti. Una volta all'interno, gli autori implementano strumenti per spostarsi lateralmente attraverso la rete ed elevare i privilegi prima di filtrare e crittografare "In alcuni casi, il ransomware BlackByte gli attori hanno solo file parzialmente crittografati."
L'anno scorso è stata creata BlackByte, un'operazione Ransomware-as-a-service (RaaS). La chiave principale (un decrittatore, essenzialmente) è stata resa disponibile nell'ottobre 2021 dai ricercatori di sicurezza informatica di Trustwave.