È stato ampiamente riportato che la società di telecomunicazioni mobili T-Mobile sta indagando su una rivendicazione fatta da un hacker durante il fine settimana di dati rubati da 100 milioni di clienti. Secondo Bleeping Computerl'attore della minaccia sostiene di aver venduto una banca dati contenente date di nascita, numeri di patente e numeri di previdenza sociale di 30 milioni di persone in cambio di sei Bitcoin (circa 270.000 dollari). Non è la prima volta che T-Mobile viene presa di mira in un attacco informatico, ma la rivendicazione fatta dall'attaccante in questo caso indica che questa volta potrebbe essere diversa.
Un risultato diverso da quello tipico
Senza avere una visione completa dei dettagli, è difficile sapere quali tattiche siano state utilizzate nell'attacco, tuttavia ci sono alcuni risultati che possono derivare da questo tipo di attività degli hacker.
Opzione 1: l'hacker negozia
Una voltaottenuto l'accesso e verificata la possibilità di una violazione, l'hacker informa il fornitore (in questo caso T-Mobile) per concordare un prezzo per risolvere il problema prima che si verifichino danni. Non vi è alcuna indicazione o segnalazione che ciò sia avvenuto in questo caso.
Opzione 2: Ransomware
Non c'è da sorprendersi, perché questo fenomeno continua a essere una preoccupazione crescente per le organizzazioni, in quanto i criminali possono chiedere un prezzo elevato in cambio della decriptazione dei dati, mentre non c'è alcuna garanzia che i dati rubati non riemergano in futuro. In base a quanto riportato, non sembra che T-Mobile abbia a che fare con il tipico ladro di ransomware.
Opzione 3: i dati vengono venduti sul mercato libero.
Se ciò che l'hacker sostiene è vero, questa è la situazione attuale per T-Mobile ed è tutt'altro che ideale perché in genere significa che l'aggressore ha ciò che sostiene e può dimostrarlo.
Questo tipo di raccolta estesa di dati è tipico di un attacco lento e poco aggressivo, in cui gli aggressori ottengono l'accesso a un sistema e operano inosservati alla ricerca di backdoor, intercettando i sistemi ed esfiltrare i dati. In effetti, il tempo medio di permanenza globale di un aggressore all'interno di un ambiente è ora di 24 giorni, secondo questo Dark Reading articolo. Più volte le organizzazioni che cadono vittima di questi attacchi scoprono che tutte le prove per determinare cosa è successo sono sepolte nei registri e non sono state collegate nel modo necessario per far scattare i giusti "campanelli d'allarme". Come abbiamo sottolineato durante gli attacchi precedenti, è importante che le organizzazioni riconoscano che gli hacker non fanno mosse ovvie, ma senza la visibilità necessaria per vedere e fermare i loro movimenti, difendersi da loro è quasi impossibile.
Secondo questo articolo diBleeping Computer, "gli attori delle minacce sostengono di aver violato due settimane fa i server di produzione, di staging e di sviluppo di T-Mobile, compreso un server di database Oracle contenente i dati dei clienti. Come prova di aver violato i server di T-Mobile, gli attori delle minacce hanno condiviso uno screenshot di una connessione SSH a un server di produzione con Oracle".
Si tratta di una storia in evoluzione che il nostro team di ricerca sta monitorando attivamente. Continueremo a pubblicare aggiornamenti attraverso il nostro blog, comprese le raccomandazioni per le aziende preoccupate dagli attacchi persistenti.