Seoul, la Pulmuone Co. Ltd subisce un doppio attacco informatico nel giro di pochi giorni

Pulmuone

Dopo un tweet postato da SuspectFile, sul doppio attacco informatico avvenuto con una differenza di pochi giorni uno dall’altro e che ha viste coinvolte la Pulmuone Co. Ldt e uno dei brand (Wildwood) dell’affiliata Pulmuone Foods USA, si è aperta una legittima discussione riguardo la possibilità o meno che a capo dei due attacchi informatici ci potesse essere un solo affiliato dei gruppi ransomware LockBit2.0 e BlackMatter.

Seoul, la Pulmuone Co. Ltd subisce un doppio attacco informatico nel giro di pochi giorni 1

Pensare che lo stesso affiliato avesse “passato” a due differenti gruppi ransomware la medesima vittima poteva sembrare legittimo ma, aggiungiamo noi, forse anche poco credibile. E infatti dopo un giorno di ricerche e dettagli avuti da alcune nostre fonti molto attendibili, possiamo affermare che così non è stato: i due attacchi informatici alla Pulmuone sono stati portati a termine da due affiliati LockBit2.0 e BlackMatter differenti.

Dopo la pubblicazione del tweet, SuspectFile ha iniziato a reperire informazioni con l’intento di far luce sulla vicenda. Oggi, grazie alle risposte che ci sono state date possiamo anche affermare che i server colpiti dai due gruppi ransomware sono gli stessi.

Ma partiamo dal modo con cui ci siamo accorti che la Pulmuone fosse stata vittima, per ben due volte nel giro di pochissimi giorni, di altrettanti attacchi (differenti) ai propri sistemi IT.

BlackMatter nella chat, ma forse dovremmo chiamare questo gruppo utilizzando il suo vecchio nome, con un primo messaggio dello scorso 30 agosto indirizzato alla Pulmuone Co. Ltd, aveva avvertito l’azienda sud coreana che se continuava a non rispondere alle proprie richieste, dopo alcuni giorni, avrebbe resa pubblica la notizia del data breach.

Il 17 settembre BlackMatter decide di rendere pubblica la notizia dell’attacco informatico, il riscatto iniziale era stato fissato in 500k $ poi raddoppiato dopo la scadenza dei termini.

Seoul, la Pulmuone Co. Ltd subisce un doppio attacco informatico nel giro di pochi giorni 2

Seoul, la Pulmuone Co. Ltd subisce un doppio attacco informatico nel giro di pochi giorni 3

Riguardo invece l’attacco informatico portato a termine da un affiliato LockBit2.0 possiamo confermare che lo stesso è stato effettuato intorno il 20 di agosto, questo è quanto ci ha confermato la nostra fonte.

Ci viene confermata la cifra del riscatto, una cifra che avevamo appreso anche da altre fonti. Il riscatto chiesto alla Pulmuone Foods USA è una cifra di 10 volte più alta rispetto a quella chiesta all’azienda madre.

Seoul, la Pulmuone Co. Ltd subisce un doppio attacco informatico nel giro di pochi giorni 4

Come già scritto, l’attacco dell’affiliato LockBit2.0 è avvenuto intorno il 20 agosto e dopo il rifiuto da parte della Pulmuone Foods USA di pagare il riscatto, il gruppo ransomware interrompe la trattativa  e decide per la pubblicazione dei dati esfiltrati.

La fonte ci conferma che l’intrusione di BlackMatter nei server della Pulmuone avviene semplicemente perchè l’azienda multinazionale sud coreana non aveva ancora corretto le vulnerabilità già presenti all’interno della propria rete informatica.

Quindi due affiliati diversi che attaccano gli stessi server in due momenti diversi.

Prima accennavamo a BlackMatter riguardo la sua reale identità. Che ci fossero sospetti che questo gruppo ransomware assomigliasse, forse anche troppo, a un altro noto gruppo del recente passato è cosa risaputa e dove molti hanno ipotizzato che la sua dipartita nascondesse invece un rebranding.

Parte del codice ricalca esattamente quello di un gruppo “sparito dai radar” a maggio di quest’anno dopo il devastante attacco informatico alla Colonial Pipeline Co., stiamo parlando di DarkSide. Ancora adesso non è chiaro se le strutture informatiche di DarkSide siano state chiuse da un’azione delle forze di polizia, FBI in testa, o se sia stato lo stesso gruppo ransomware a smantellarle perchè era ormai diventato uno dei principali gruppi di criminali informatici a essere ricercato dalle polizie e con la necessità di scomparire.

Ci sono davvero tante, troppe somiglianze tra DarkSide e BlackMatter così come viene spiegato in modo esauriente in questa tabella elaborata da Andrey Zhdanov, specialista nella ricerca proattiva di minacce informatiche Group-IB.

Seoul, la Pulmuone Co. Ltd subisce un doppio attacco informatico nel giro di pochi giorni 5
Tabella comparativa stilata da Andrey Zhdanov di “Group-IB”

A conferma di tutto questo c’è poi la nostra fonte che ci ribadisce che BlackMatter non è altro che il rebranding di DarkSide:

 BlackMatter = DarkSide
its simple rebranding