Il ransomware REvil, anche conosciuto come Sodinokibi, è tornato a colpire: questa volta la vittima è CyrusOne, uno tra i principali fornitori statunitensi di servizi di data center. Il nome REvil/Sodinokibi è noto soprattutto oltreoceano perché qui questo programma malevolo “ricattatore”, nelle sue varie versioni, ha già fatto grossi danni: a giugno ha colpito non meno di tre fornitori di servizi gestiti (Msp), mentre ad agosto ha creato problemi a una ventina di agenzie statali del Texas e in seguito a oltre 400 studi dentistici.
Lo schema d’azione è quello classico: infezione del computer tramite exploit di una vulnerabilità software, crittografia dei file, richiesta di riscatto monetario. Una descrizione tecnica del funzionamento di REvil è stata fatta a suo tempo da Secureworks.
Ora si torna a parlarne dato che, secondo le fonti di Zdnet, un ransomware appartenente alla stessa famiglia ha colpito CyrusOne, società di Dallas che da 16 anni si occupa di data center in colocation, servizi cloud infrastrutturali, disaster recovery e altro ancora. L’azienda si definisce come il terzo più grande fornitore di servizi di data center degli Stati Uniti ma ha anche infrastrutture dislocate in Europa e Asia: 45, in totale, nel mondo, al servizio di oltre mille clienti.
Come ha fatto REvil a colpire una società tanto strutturata, e per di più non certo a digiuno di competenze in fatto di cybersicurezza? I dettagli scarseggiano. A detta di Zdnet, si è trattato di un attacco diretto alla rete di CyrusOne, il cui punto di ingresso al momento non è noto. Le fonti confidenziali hanno riferito che l’incidente non ha riguardato tutti e 45 i data center, ma che in ogni caso per ripristinare i server e i dati dei clienti ci vorrà parecchio tempo. CyrusOne avrebbe (saggiamente) scelto di non piegarsi al pagamento del riscatto. L’azienda vittima del ransomware per ora non si è ufficialmente pronunciata.