Exagrid paga 2,6 milioni di dollari agli aggressori del ransomware Conti

Il fornitore di dispositivi di backup ExaGrid ha pagato un riscatto di $ 2,6 milioni ai criminali informatici che hanno preso di mira l’azienda con Conti ransomware.

Il riscatto è stato pagato sotto forma di 50,75 bitcoin il 13 maggio, secondo le informazioni ottenute dalla pubblicazione sorella francese di ComputerWeekly.com LeMagIT.

L’adesione alle richieste dell’attaccante ransomware è stata resa più imbarazzante quando il fornitore dell’appliance di backup, che fa un grande gioco dei suoi punti di forza contro il ransomware, ha cancellato accidentalmente lo strumento di decrittazione e ha dovuto richiederlo di nuovo.

La presentazione all’attacco ransomware è arrivata nello stesso mese in cui l’operatore di oleodotti statunitense Colonial Pipeline ha pagato $ 4,5 milioni dopo essere stato colpito dal ransomware Darkside e il servizio sanitario irlandese è stato preso di mira, anche da Conti ransomware.

Le trattative, alle quali LeMagIT ha avuto accesso, sono iniziate il 4 maggio con una persona con il titolo di “Tecnico capo IT con ExaGrid Systems”.

I criminali informatici sono andati dritti al punto e hanno detto: “Come già sai, ci siamo infiltrati nella tua rete e ci siamo rimasti per più di un mese (abbastanza per studiare tutta la tua documentazione), abbiamo crittografato i tuoi file server, SQL server, scaricato tutte le informazioni importanti con un peso totale di oltre 800 GB.”

Hanno continuato descrivendo come erano entrati in possesso dei dati personali di clienti e dipendenti, contratti commerciali, moduli NDA, dati finanziari, dichiarazioni dei redditi e codice sorgente. Il riscatto iniziale richiesto era di $ 7.480.000.

ExaGrid voleva testare la decrittazione su un campione ed è stata fornita una foto della parte anteriore di una scatola NAS ExaGridEX63000E. I negoziati sono proseguiti e sono durati fino al 13 maggio. Durante tutto questo periodo, gli aggressori hanno condiviso file con ExaGrid tramite Sendspace per mostrare a cosa erano stati in grado di accedere. Alcuni archivi condivisi in questo modo non erano stati cancellati per un po ‘di tempo dopo la conclusione delle negoziazioni e potevano ancora essere scaricati.

Il negoziatore del criminale informatico sembrava più esperto di altri. Dopo un’offerta iniziale di ExaGrid di oltre 1 milione di dollari, ha risposto: “Grazie per i tuoi sforzi. Questa è un’offerta iniziale equa e ragionevole. Ora abbiamo l’opportunità di negoziare. Siamo pronti a offrirti uno sconto di 1 milione di dollari. La tua commissione sarà ora di $ 6.480.000”.

In contrasto con l’approccio pesante di altri criminali informatici, il negoziatore ha aggiunto: “Comprendiamo che il tuo lavoro qui non è facile e richiede uno sforzo per convincere i membri del tuo consiglio. Ma siamo ancora lontani dall’accordo».

Una settimana dopo, il negoziatore ExaGrid ha alzato la sua offerta a $ 2,2 milioni. I criminali informatici hanno quindi ridotto la loro richiesta a $ 3 milioni. A quel punto, gli scambi si sono intensificati mentre le due parti hanno cercato di raggiungere rapidamente un accordo. Ciò è arrivato presto con un accordo a $ 2,6 milioni e l’indirizzo bitcoin ha indicato che l’importo negoziato è stato pagato. Lo strumento di decrittazione è stato fornito tramite un account su Mega.nz, dove sono stati archiviati i dati rubati. I dati e gli account sono stati immediatamente cancellati.

Ma poi, due giorni dopo, il negoziatore di ExaGrid ha chiesto di inviare nuovamente lo strumento di decrittazione perché “l’abbiamo cancellato per sbaglio”. I criminali informatici lo hanno reso disponibile per il download il giorno successivo.

L’attacco è particolarmente imbarazzante per Exagrid, che lo scorso dicembre ha annunciato aveva vinto sette premi del settore, oltre al lancio di una nuova soluzione per i ripristini a seguito di attacchi ransomware.

Sul suo sito Web, in merito al ransomware, ExaGrid afferma: “ExaGrid offre un approccio unico per garantire che gli aggressori non possano compromettere i dati di backup, consentendo alle organizzazioni di essere sicure di poter ripristinare lo storage primario interessato ed evitare di pagare brutti riscatti”.

A ExaGrid è stato chiesto un commento, ma non era disponibile al momento della pubblicazione.