Toyota Financial Services (TFS), una divisione della Toyota Motor Corporation, ha confermato un accesso non autorizzato ai suoi sistemi in Europa e Africa in seguito alla minaccia del gruppo ransomware Medusa di divulgare dati sensibili, mettendo in luce la crescente preoccupazione per la sicurezza informatica nel settore automobilistico.
Dettagli dell’attacco a Toyota e richiesta di Medusa ransomware
L’attacco ha messo in evidenza la vulnerabilità dei sistemi di Toyota Financial Services. Medusa ha inserito TFS nel proprio sito di divulgazione sul dark web, chiedendo un riscatto di 8 milioni di dollari. In assenza di pagamento, il gruppo ha minacciato di pubblicare i dati rubati, dando a Toyota un termine di 10 giorni per rispondere. Per dimostrare la serietà della loro minaccia, Medusa ha rilasciato un campione di dati che includeva documenti finanziari, password e informazioni personali dei dipendenti.
Possibile collegamento con la Vulnerabilità Citrix Bleed
L’incidente ha sollevato sospetti su un possibile sfruttamento della vulnerabilità Citrix Bleed (CVE-2023-4966). Un analista di sicurezza ha notato che l’ufficio tedesco di TFS aveva un endpoint Citrix Gateway esposto e non aggiornato, rendendolo un bersaglio potenziale per gli attacchi ransomware. Questo solleva preoccupazioni sull’importanza di mantenere i sistemi aggiornati e sicuri per prevenire violazioni simili.
Impatto e misure di risposta
Toyota Financial Services ha reagito prontamente all’incidente, disconnettendo alcuni sistemi e collaborando con le forze dell’ordine in contrasto al ransomware di Medusa. Sebbene l’entità completa della violazione non sia stata confermata, l’azienda ha iniziato il processo di riattivazione dei sistemi in diversi paesi. Questo incidente sottolinea l’importanza di una risposta rapida e di misure di sicurezza robuste per proteggere i dati sensibili e mantenere la fiducia dei clienti.