Tyler Technologies ha pagato un riscatto per una chiave di decrittazione per recuperare i file crittografati in un recente attacco ransomware.
n
Tyler Technologies afferma di essere la più grande azienda di software del Nord America dedicata al settore pubblico, con oltre $ 1,2 miliardi di entrate per il 2020 e 5.500 dipendenti.
n
Un attacco ransomware RansomExx
n
Il 23 settembre, Tyler Technologies ha subito un attacco informatico da parte degli operatori di ransomware RansomExx, che erano anche responsabili dei recenti attacchi a Konica Minolta e IPG Photonics.
n
In risposta all’attacco, Tyler Technologies ha immediatamente disconnesso parti della propria rete per contenere la diffusione del ransomware e limitare l’esposizione dei propri clienti.
n
n
“Questa mattina presto, ci siamo resi conto che un intruso non autorizzato aveva interrotto l’accesso ad alcuni dei nostri sistemi interni. Dopo la scoperta e per eccesso di cautela, abbiamo chiuso i punti di accesso ai sistemi esterni e abbiamo immediatamente iniziato a indagare e risolvere il problema” Matt Bieri, CIO di Tyler Technologies, ha scritto via email ai clienti.
n
n
L’attacco ha causato un’interruzione significativa delle operazioni di Tyler Technologies, è stato contenuto a livello locale e non si è diffuso ai suoi clienti.
n
Fonti del settore pubblico hanno riferito che l’attacco ransomware ha avuto un grave impatto su Tyler Technologies e che la società si aspettava che ci sarebbero voluti trenta giorni per ripristinare completamente le operazioni.
n
Ho pagato il riscatto per ottenere un decryptor
n
Una fonte ha detto che Tyler Technologies ha pagato la richiesta di riscatto RansomExx per recuperare i dati crittografati.
n
Non è sconosciuto, tuttavia, quanto è stato pagato per ricevere una chiave di decrittazione.
n
Quando il ransomware ha crittografato i file di Tyler Technologies, hanno aggiunto un’estensione simile a “.tylertech911-f1e1a2ac”.
n
Per dimostrare che il decryptor era valido, si è stati in grado di decrittografare i file crittografati [ 1 , 2 ] caricati su VirusTotal al momento dell’attacco ransomware.
n
n
Quando decrittografato, il file Arin.txt conteneva un elenco di intervalli IP utilizzati dall’azienda.
n
RansomExx è anche noto per rubare dati prima di crittografare i dispositivi su una rete. Gli operatori di ransomware minacciano quindi di rilasciare questi dati rubati a meno che una vittima non abbia pagato il riscatto.
n
Poiché molti distretti scolastici, sistemi giudiziari e governi locali e statali negli Stati Uniti sono clienti di Tyler Technologies, i rischi di fuga pubblica di informazioni sensibili e codice sorgente sono preoccupanti.
n
Questa preoccupazione potrebbe essere stata un fattore determinante nella decisione di pagare il riscatto.
n
Alla domanda sul decryptor, Tyler Technologies non ha contestato il pagamento del riscatto, ma ha detto a BleepingComputer che non potevano rivelare ulteriori informazioni in questo momento.
n
n
“Date le sensibilità intorno all’incidente e le nostre indagini su di esso, e la nostra cooperazione attiva con le forze dell’ordine, non siamo liberi di rivelare ulteriori dettagli in questo momento”.
n