skip to Main Content

Cybercrime: doppio Ricatto, l’ultima escalation del ransomware

Cybercrime: Doppio Ricatto, L’ultima Escalation Del Ransomware

di Pierguido Iezzi

L’ultimo trend del cybercrime in relazione agli attacchi ransomware è il doppio ricatto. Se la vittima (soprattutto le aziende) non paga il riscatto nei tempi, si vedrà pubblicati online i propri dati

Nell’ultimo periodo è emerso che cybercrime ha iniziato a minacciare le vittime degli attacchi ransomware con lo spettro di far trapelare i dati compromessi o di utilizzarli in futuri attacchi di spam. Ciò nel caso in cui le richieste di riscatto non vengano soddisfatte. Questa tattica, chiamata “doppia estorsione”, ha fatto la sua comparsa per la prima volta alla fine del 2019 grazie agli operatori di Maze, ma è stata rapidamente adottata negli ultimi mesi da vari Criminal Hacker che fanno uso di altri malware come Clop, DopplelPaymer e Sodinokibi. Ciò rappresenta sicuramente uno dei nuovi trend dei rischi per la cyber security nel 2020 ed è potenzialmente ancora più efficace e devastante delle aggressioni con i ransomware. I criminali cibernetici, dopo aver bloccato le macchine, infatti cominciano a diffondere nel Dark Web informazioni sensibili delle vittime a piccole dosi, a mo’ di prova delle loro intenzioni.

Il trend della doppia estorsione è nato con l’attacco alla Allied Universal che sfruttava il malware Maze

Nel novembre del 2019, la Allied Universal, una grande compagnia americana attiva nel settore dei servizi, ha avuto la sfortuna di diventare la prima vittima sacrificale del meccanismo del doppio ricatto. Colpita da un attacco Ransomware di Maze, si è rifiutata di pagare il riscatto di 300 Bitcoin (2,3 milioni di dollari). In risposta i Criminal Hacker hanno minacciato di utilizzare le informazioni estratte dai suoi sistemi, così come le email, per una campagna di phishing che impersonava proprio l’azienda stessa. Per dimostrare la validità della loro minaccia, il gruppo del cybercrime ha diffuso 700 MB di dati (compresi contratti, cartelle cliniche, certificati e altro), e inviato una nuova richiesta di riscatto superiore del 50% rispetto all’originale. Inoltre, ha creato una pagina web dedicata che elenca le identità delle loro vittime non cooperative e pubblica regolarmente campioni dei dati rubati.

Ormai sono vari i gruppi di Criminal Hacker che adottano la strategia di pubblicare i dati delle vittime, con l’obiettivo di aumentare il pressing e costringerli a pagare 

I Criminal Hacker dietro a Maze hanno ormai pubblicato i dettagli di decine di società, studi legali, fornitori di servizi medici e compagnie assicurative che non hanno ceduto alle loro richieste. Si stima che molte altre aziende abbiano evitato lo stesso trattamento, pagando il riscatto richiesto. Dopo il caso Allied Universal, altri gruppi del cybercrime hanno copiato queste tattiche, aprendo i loro siti per diffondere o far trapelare i dati rubati nel tentativo di fare ulteriore pressione sulle vittime. Per esempio, gli aggressori che utilizzano il ransomware Sodinokibi (noto anche come REvil) hanno creato un “Happy Blog” in cui hanno recentemente inserito i dettagli degli attacchi malware contro 13 obiettivi, nonché le informazioni aziendali rubate alle organizzazioni bersaglio. 

Le aziende prese di mira si trovano in una doppia trappola: Se non pagano, vedranno online i loro dati. Se lo fanno, i criminali cibernetici li ricatteremo anche in futuro

I ricercatori di cyber security che per primi hanno osservato questa evoluzione, affermano che i Criminal Hacker giocano per escalation. Prima pubblicheranno solo screenshot delle informazioni, come avvertimento alle vittime che devono pagare il loro riscatto in tempo. Se ciò non avviene, faranno seguito alla minaccia e renderanno i file riservati disponibili sul web per il download pubblico. In questo modo le organizzazioni prese di mira si trovano in una doppia trappola: se non cedono alle richieste del cybercrime, si vedranno pubblicati i dati rubati e dovranno denunciare la violazione all’autorità nazionale o internazionale preposta alla tutela della privacy, che potrebbe infliggere una grossa multa. Se lo fanno, invece, è probabile che subiscano ulteriori richieste di riscatti in futuro, anche periodicamente.

Back To Top