Gli account di posta elettronica collegati alla Virginia Defense Force e al Dipartimento degli affari militari della Virginia sono stati colpiti da un attacco informatico a luglio, secondo un portavoce della Guardia nazionale della Virginia.
A. A. Puryear, capo degli affari pubblici della Virginia National Guard, ha dichiarato a ZDNet che l'organizzazione è stata informata a luglio di una possibile minaccia informatica contro la Virginia Defense Force e ha avviato immediatamente un'indagine in coordinamento con le autorità di sicurezza informatica statali e federali e le forze dell'ordine per determinare cosa è stato colpito
“L'indagine ha determinato che la minaccia ha avuto un impatto sugli account di posta elettronica di VDF e del Dipartimento degli affari militari della Virginia gestiti da una terza parte a contratto e non ci sono indicazioni che l'infrastruttura IT interna di VDF o DMA o i server di dati siano stati violati o siano stati presi dati”, ha affermato Puryear.
“Non ci sono impatti sull'infrastruttura IT della Virginia Army National Guard o della Virginia Air National Guard. L'indagine è in corso con il coordinamento continuo con i partner statali e federali per determinare il pieno impatto della minaccia e quali azioni di follow-up appropriate dovrebbero essere intraprese”.
Puryear ha confermato che l'incidente non era un attacco ransomware, ma non ha risposto alle domande su quali indirizzi e-mail hanno avuto accesso e se le vittime sono già state informate.
Il Dipartimento degli affari militari della Virginia è l'agenzia statale che supporta la Virginia Army National Guard, la Virginia Air National Guard e la Virginia Defense Force. La Virginia Defense Force è la riserva di volontari della Guardia Nazionale della Virginia e “serve come moltiplicatore di forza” integrato in tutte le operazioni interne della Guardia Nazionale.
Il 20 agosto, il mercato Marketo per i dati rubati ha iniziato a pubblicizzare una serie di dati rubati dal Dipartimento degli affari militari della Virginia. Hanno affermato di avere 1 GB di dati disponibili per l'acquisto.
Gli esperti hanno affermato che mentre gli operatori dietro Marketo non sono attori di ransomware, è noto che alcuni dati sul loro sito sono stati presi durante attacchi di ransomware e pubblicizzati come un modo per costringere le vittime a pagare un riscatto.
Marketo era in precedenza nelle notizie per aver venduto i dati del gigante tecnologico giapponese Fujitsu. Digital Shadows ha scritto un rapporto sul gruppo a luglio, osservando che è stato creato nell'aprile 2021 e spesso commercializza i suoi dati rubati attraverso un profilo Twitter con il nome di @Mannus Gott.
La banda ha ripetutamente affermato che non si tratta di un gruppo di ransomware ma di un “mercato informativo”. Nonostante le loro affermazioni, il loro account Twitter condivide spesso post che si riferiscono a loro come un gruppo ransomware.
Allan Liska, parte del team di risposta agli incidenti di sicurezza informatica presso Recorded Future, ha osservato che non sembrano essere legati a nessun gruppo di ransomware specifico.
“Hanno preso la stessa strada di Babuk e sono tutte “fughe di dati”. Per quanto ne sappiamo, non pretendono di rubare i dati da soli e invece offrono uno sbocco pubblico ai gruppi che lo fanno, siano essi ransomware o meno”, ha affermato Liska.
Brett Callow, analista di minacce di Emsisoft ed esperto di ransomware, ha affermato che non è ancora chiaro come Marketo provenga dai dati che vendono e ha aggiunto che non è nemmeno chiaro se siano responsabili degli hack o agiscano semplicemente come broker basati su commissioni.
Ha aggiunto che alcune delle vittime sul sito leak di Marketo sono state recentemente colpite da attacchi ransomware, tra cui X-Fab, che il gruppo ransomware Maze ha colpito nel luglio 2020, e Luxottica, che è stata colpita dal ransomware Nefiliim nel Settembre.
“Detto questo, almeno alcuni dei dati che la banda ha tentato di vendere potrebbero essere collegati ad attacchi ransomware, alcuni dei quali risalgono allo scorso anno. Le e-mail trapelate possono rappresentare un vero rischio per la sicurezza, non solo per l'organizzazione da cui provengono. rubato, ma anche ai suoi clienti e partner commerciali”, ha affermato Callow.
“Sono un'esca eccellente per lo spear phishing in quanto consentono agli attori delle minacce di creare e-mail estremamente convincenti che possono persino sembrare risposte a scambi esistenti. E, naturalmente, non è solo l'attore della minaccia iniziale di cui le organizzazioni interessate devono preoccuparsi; è anche chi acquista i dati. Infatti, è chiunque conosca l'URL, in quanto può scaricare il 'pacchetto di prove.'”
In passato, il gruppo è arrivato al punto di inviare campioni di dati rubati a concorrenti, clienti e partner di un'azienda come un modo per far vergognare le vittime a rimborsare i loro dati.
Il gruppo ha recentemente elencato dozzine di organizzazioni sul proprio sito di fuga di notizie, incluso il Dipartimento della Difesa degli Stati Uniti, e generalmente ne diffonde una nuova ogni settimana, vendendo principalmente dati provenienti da organizzazioni negli Stati Uniti e in Europa.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve accadere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Data Management Security TV CXO Data Center 