Cosa combina il gruppo Everest (non solo contro la Siae)
di Chiara Rossi
La Siae (società italiana autori ed editori) è stata colpita da un ransomware, un attacco hacker da parte del gruppo Everest. Chi è e come agisce il gruppo hacker
Attacco hacker alla Siae, a rivendicarlo è il gruppo Everest.
Sottratti 60 Gigabyte di dati di artisti, tra cui dati sensibili come patenti, tessere sanitarie, carte di identità e indirizzi. Di questi, una parte (28 mila documenti) sono stati “esfiltrati” e pubblicati per essere messi in vendita sul dark web. Chiesto un riscatto per evitarne la pubblicazione che sarebbe di tre milioni di euro in bitcoin.
La Polizia postale indaga sul caso, attraverso il compartimento di Roma del Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche).
“La Siae non darà seguito alla richiesta di riscatto”, dice all’Ansa il dg Gaetano Blandini, che sottolinea: “Abbiamo già provveduto a fare la denuncia alla polizia postale e al garante della privacy come da prassi.
“Il nome del gruppo, Everest, viene dal codice software che usano nei loro attacchi. Già visto in azione nel 2018 con un altro nome, Everbe, il gruppo di lingua russa era stato identificato da McAfee e, attivo nell’ultimo trimestre 2021” riporta Repubblica.
Tutti i dettagli sul gruppo Everest, che sviluppa l’omonimo ransomware, a sua volta derivato da Everbe 2.0.
IL RANSOMWARE EVEREST
Come riporta Tecnologia.libero.it, “il virus informatico Everest ha iniziato a circolare molto velocemente nel 2020 e nasce da una costola di Everbe 2.0. Dopo essere stato infiltrato in un sistema informatico, inizia a criptare i file. Solitamente l’infezione parte da una email di spam, contenente un allegato che lancia uno script, che a sua volta scarica e installa il virus”.
COME OPERA IL GRUPPO HACKER
Gli operatori di ransomware Everest hanno acquisito notorietà per aver promosso il loro sito contattando ricercatori di sicurezza informatica e giornalisti e inviando e-mail ai concorrenti delle vittime di violazione per fare pressione ed estorcere denaro, secondo la società di sicurezza informatica Cyfirma.
RAGGIUNTO DAL QUOTIDIANO CANADESE GLOBAL AND MAIL
I gruppi ransomware sono in continua evoluzione per eludere le forze dell’ordine.
Alle colonne del Globe and Mail, lo scorso agosto qualcuno del gruppo Everest ha risposto così quando gli è stato chiesto dell’etica delle organizzazioni estorsive: “Questo è un lavoro”.
Inoltre, ha riferito al giornalista che li ha contattati via mail di non amare i negoziatori. “Possono abbattere in modo aggressivo l’importo del riscatto, ingannare sulla data di pagamento”, ha lamentato il membro non identificato dell’Everest al quotidiano canadese.
SCOMPARSO PER UN PO’ DAI RADAR DOPO L’ATTACCO A COLONIAL PIPELINE
Lo scorso maggio Everest e un altro operatore di ransomware AKO sembrava essere scomparso dal web secondo Allan Liska, un ricercatore della società di sicurezza informatica Recorded Future. Come aveva riportato Reuters.
Secondo l’esperto la sparizione dai radar dei due gruppi era una potenziale scossa di assestamento a seguito dell’attacco hacker al principale oleodotto statunitense Colonial Pipeline.
La mossa seguiva infatti la scomparsa di DarkSide, il gruppo accusato di aver paralizzato per sei giorni la più grande rete di gasdotti del paese. Colonial ha finito per pagare 4,4 milioni di dollari per sbloccare i suoi sistemi. Dal quel momento gli Stati Uniti stanno adottando un approccio aggressivo dopo una serie di attacchi di alto profilo.
LA SCHERMATA TRATTA DA ZDNET
Infine, nel tentativo di esercitare ulteriore pressione sulle aziende hackerate per pagare le richieste di riscatto, diversi gruppi di ransomware hanno anche iniziato a rubare dati dalle loro reti prima di crittografarli. Nell’aprile 2020 ZDNet ha identificato nove operazioni ransomware che hanno mantenuto un “sito leak”, sul dark web o su Internet pubblico.
Tra queste anche il sito leak del gruppo Everest, che ieri ha attaccato la Siae.
• 21 Ottobre 2021
ARTICOLO EVEREST