skip to Main Content

Cybercrime, tra i gruppi ransomware si consolida la “doppia estorsione”

di Pierguido Iezzi

Si consolida tra gli attori del cybercrime, specializzati in ransomware, la tendenza della doppia estorsione: alla richiesta di riscatto si aggiunge un sito con i data leak per aumentare il pressing

È ormai diventata una tattica tradizionale per i gruppi di criminal hacker specializzati in ransomware: creare siti di data leak, in cui caricare e diffondere documenti sensibili delle aziende vittime ancora refrattarie a pagare le richieste di riscatto per ottenere un Decryptor. Questa pratica fa parte di una nuova “corrente” che si sta formando negli ambienti del cybercrime. Il processo si chiama doppia estorsione e sta già dando i suoi frutti. L’esempio perfetto è quello dell’Università dello Utah, negli Stati Uniti. Poche settimane fa, la direzione dell’università ha ammesso di aver pagato 457 mila dollari ad un gruppo (anche se ha recuperato i file criptati utilizzando i backup precedenti). In una dichiarazione pubblicata sul proprio sito web, l’ateneo ha rivelato che questo aveva minacciato di diffondere online i dati sensibili degli studenti, se non avesse accettato di pagare indipendentemente dal fatto che avessero recuperato i loro file originali o meno.

Ancora non tutti i criminal hacker hanno adottato questa pratica, ma il trend è in crescita

Il caso dello Utah non è isolato. Questi incidenti stanno diventando sempre più comuni. Sempre più gruppi di Criminal Hacker si spostano verso l’utilizzo di un sito apposito di data leak per mettere ulteriore pressione sulle vittime. La buona notizia – per ora – è che non ancora tutte le “gang del Ransomware” hanno adottato questa tattica. Ma forse si tratta solo di una questione di tempo, anche se il numero dei refrattari è sempre più esiguo. Invece, è in costante crescita dal dicembre 2019 quello degli attori del cybercrime che hanno aperto i portali. I primi, come ricordano gli esperti di cyber security, sono stati quelli dietro al malware Maze. Oggi l’elenco include Ako, Avaddon, CLOP, Darkside, DoppelPaymer, Maze, Mespinoza (Pysa), Nefilim, NetWalker, RagnarLocker, REvil (Sodinokibi) e Sekhmet. Alcuni sono “pesci piccoli”, ma altri come Maze, DoppelPaymer, REvil e NetWalker, sono tra i più “celebri” nel panorama delle minacce cyber.

Gli attori dietro a Conti (Ryuk) sono gli ultimi della lista ad aggiungersi allo schema della doppia estorsione

L’ultimo a unirsi a questo trend è stato il gruppo del cybercrime dietro al ransomware Conti, un ceppo di malware relativamente nuovo. Alcuni ricercatori di cyber security, però, ritengono che questo sia gestito dagli stessi criminal hacker che in passato hanno usato Ryuk. Scoperto da un analista di malware con lo pseudonimo di BreachKey, il sito di Conti è disponibile a diversi URL sia su internet pubblico sia sul Dark Web. BreachKey riporta come il sito elenchi già 26 aziende vittime, che si sono rifiutate di pagare il riscatto. Per ognuna sono stati diffusi i documenti ottenuti tramite attacchi Ransomware. Questa è l’ennesima conferma che lo schema della doppia estorsione è consolidato e in crescita, nonché che potrebbe diventare lo standard nel modus operandi della maggior parte dei Criminal Hacker.

Alcuni “big”, invece, per ora scelgono di non creare siti di data leak. Forse per non attirare troppo l’attenzione su di sé

Ci sono, comunque, diversi big del cybercrime come gli attori dietro ai ransomware BitPaymer, WastedLocker, LockBit, ProLock e la famiglia Dharma, che ancora non hanno scelto di pubblicare parte del loro “bottino” per ricattare le vittime. Le ragioni sono sconosciute, ma è facile speculare su come alcuni gruppi amino operare senza attirare troppo l’attenzione su di sé. Principio che va nella direzione opposta alla natura dei siti di data leak.

La nuova tendenza sembra ormai consolidata. Le aziende, quindi, dovranno rivedere gli approcci e le loro strategie, alla luce delle nuove minacce

La nuova tendenza della doppia estorsione del cybercrime comporta variazioni nel modo in cui le imprese si devono preparare a gestire la cyber security e gli attacchi ransomware. Mentre in un passato lontano l’obiettivo era solo recuperare i file per tornare alle operazioni quotidiane e ripristinare la Business Continuity, oggi la situazione è cambiata. Soprattutto perché gli attacchi con questo tipo di malware comportano molto spesso il furto di dati aziendali sensibili, dati personali di dipendenti o clienti. Ciò significa che la maggior parte degli incidenti richiede una risposta tecnica approfondita e ampi controlli di rete per scoprire backdoor persistenti che potrebbero essere utilizzate per attacchi futuri. Come se non bastasse, c’è anche da aggiungere la parte legale, con l’eventuale notifica al garante della violazione dei dati.

Back To Top