Un gruppo ransomware noto come DragonForce afferma di aver effettuato un’intrusione presso Mobilelink USA, un grande rivenditore che gestisce negozi Cricket Wireless in tutti gli Stati Uniti. Il gruppo ha dichiarato di aver estratto più di 5TB di dati dai sistemi aziendali. Gli aggressori sostengono che il materiale includa documenti interni e informazioni relative ai clienti, anche se non hanno rilasciato file di esempio per verificare la rivendicazione.
Mobilelink USA gestisce più di 550 negozi con il marchio Cricket in 21 stati. Gli analisti della sicurezza hanno affermato che, se le affermazioni sono accurate, l’impatto potenziale potrebbe estendersi a una vasta base di clienti. Hanno osservato che i rivenditori spesso conservano una combinazione di dati operativi, inclusi dati di contatto dei clienti, registri degli acquisti dei dispositivi e informazioni relative agli account utilizzate per supportare l’attivazione del servizio. Gli analisti hanno affermato che qualsiasi esposizione di questo materiale potrebbe aumentare il rischio di tentativi di phishing e altre forme di frode.
DragonForce, collegata alla Russia, è descritta dai ricercatori come un ransomware attivo, come organizzazione di servizi coinvolta in campagne globali di furto di dati ed estorsione. Il gruppo è stato collegato a incidenti che prendono di mira aziende di diversi settori. Gli specialisti hanno detto che DragonForce annuncia comunemente le violazioni pubblicando affermazioni non verificate prima di rilasciare la prova del furto di dati. Hanno aggiunto che questo approccio è pensato per fare pressione sulle organizzazioni affinché negozino.
L’intrusione in Mobilelink USA non è ancora stata confermata dall’azienda. Non è stata rilasciata alcuna dichiarazione pubblica e i dettagli sulla natura dell’attacco restano limitati. Gli analisti della cybersecurity hanno affermato che, nei casi in cui gli attaccanti affermano di aver estratto grandi set di dati, le aziende solitamente conducono indagini forensi parallele per convalidare o confutare le accuse. Hanno detto che queste richieste possono richiedere tempo perché gli investigatori devono esaminare l’attività dei server, i log e il comportamento della rete per identificare potenziali punti di accesso.
Gli esperti hanno affermato che se i dati dei clienti venissero compromessi, le persone potrebbero affrontare tentativi di ottenere ulteriori informazioni personali tramite comunicazioni fraudolente. Gli attaccanti spesso utilizzano dati parziali per creare messaggi convincenti che sembrano provenire da team di assistenza clienti legittimi. Gli analisti hanno consigliato ai clienti di Cricket Wireless e Mobilelink USA di monitorare l’attività degli account, esaminare gli estratti conto e rimanere vigili ai contatti non richiesti che richiedano la verifica dei dati personali.
I gruppi ransomware prendono spesso di mira i rivenditori a causa delle loro ampie basi clienti e degli ambienti IT distribuiti. Gli analisti hanno affermato che i sistemi di punto vendita, le piattaforme di supporto clienti e gli strumenti di gestione dei dispositivi possono offrire opportunità agli attaccanti se le reti non sono completamente segmentate o monitorate. Hanno aggiunto che i rivenditori si affidano alla disponibilità continua del sistema per supportare le operazioni quotidiane, il che può renderli vulnerabili all’estorsione.
Le forze dell’ordine e le autorità di cybersecurity continuano a monitorare i gruppi di ransomware specializzati nel furto di dati. Gli investigatori hanno affermato che gli attacchi guidati dall’estorsione restano una sfida significativa perché gli attaccanti spesso operano oltre confini e si affidano a canali di comunicazione criptati. Hanno osservato che le accuse di furto di dati sono talvolta esagerate, ma devono essere valutate con attenzione perché anche un’esposizione limitata può creare rischi per gli individui.
Mobilelink USA non ha indicato quando saranno rilasciate ulteriori informazioni. Gli analisti si aspettano ulteriori dettagli una volta che l’azienda avrà completato le valutazioni iniziali o se il gruppo ransomware pubblicherà delle prove.