Il gigante MediaMarkt, il più grande rivenditore di elettronica di consumo in Europa, ha subito un attacco ransomware Hive che ha causato l’arresto dei sistemi IT e l’interruzione delle operazioni dei negozi nei Paesi Bassi e in Germania.
L’attacco è avvenuto da domenica sera a lunedì mattina, ha crittografato server e workstation e ha obbligato all’arresto dei sistemi IT per impedire la diffusione dell’attacco. BleepingComputer ha appreso che l’attacco ha colpito numerosi negozi al dettaglio in tutta Europa, principalmente quelli nei Paesi Bassi.
Nonostante le vendite online continuino a funzionare come previsto, i registratori di cassa non possono accettare carte di credito o stampare ricevute nei negozi interessati e i resi, a causa dell’impossibilità di risalire agli acquisti precedenti, sono interrotti.
Secondo i media locali le comunicazioni interne di MediaMarkt ai propri dipendenti avvisano di evitare i sistemi crittografati e di disconnettere i registratori di cassa dalla rete.
Dagli screenshot pubblicati su Twitter di presunte comunicazioni interne, risulterebbe che 3.100 server sono stati colpiti da questo attacco.
Hive ransomware è un’operazione lanciata nel giugno 2021, nota per violare le organizzazioni attraverso campagne di phishing contenenti malware. Una volta ottenuto l’accesso a una rete, gli attori delle minacce si diffondono lateralmente attraverso una rete rubando file non crittografati da utilizzare nelle richieste di estorsione. Quando ottengono l’accesso come amministratore su un controller di dominio Windows, distribuiscono il loro ransomware in tutta la rete per crittografare tutti i dispositivi.
BleepingComputer ha confermato che dietro l’attacco c’è Hive Ransomware il quale ha richiesto inizialmente un riscatto di $ 240 milioni per ricevere un decryptor per i file crittografati.
Le bande di ransomware di solito richiedono ingenti riscatti nella fase iniziale per consentire la negoziazione e di solito ricevono una frazione della domanda iniziale. Nell’attacco a MediaMarkt, a BleepingComputer è stato riferito che l’importo richiesto è stato quasi automaticamente ridotto a uno molto inferiore.
Al momento non è chiaro se i dati non crittografati siano stati rubati. MediaMarkt ha dichiarato:
“Il MediaMarktSaturn Retail Group e le sue organizzazioni nazionali sono diventati il bersaglio di un attacco informatico. L’azienda ha immediatamente informato le autorità competenti e sta lavorando a pieno ritmo per identificare i sistemi interessati e riparare gli eventuali danni causati nel minor tempo possibile. Nei negozi fissi, al momento potrebbe esserci un accesso limitato ad alcuni servizi.
MediaMarktSaturn continua a essere disponibile per i suoi clienti attraverso tutti i canali di vendita e sta lavorando intensamente per garantire che tutti i servizi siano nuovamente disponibili senza restrizioni il prima possibile. L’azienda fornirà informazioni su ulteriori sviluppi sul tema”.