Da anni gli attacchi cyber criminali hanno mostrato alle aziende italiane e occidentali il vero volto del rischio cibernetico: tutti i trend su estorsioni e su violazioni riportano costanti aumenti sia nei volumi degli attacchi alle organizzazioni, sia negli impatti.
Tra questa pletora di minacce che abbiamo osservato negli ultimi anni, le pratiche di doppia, tripla e quadrupla estorsione si sono consolidate come modello di riferimento per il crimine organizzato digitale: l’osservatorio doubleextortion.com ha riportato dal 2020 al 2022 un incremento di oltre il 300% tra le cyber gang attive in questo segmento criminale.
Un incremento che di fatto ha permesso agli attori di crescere, strutturarsi e fomentare lo sviluppo del fertile substrato underground che provvede ad alimentare questi gruppi con “talenti” criminali, tecnologie malware e lucrative partnership.
In questi mesi qualche cosa sta cambiando. Ci sono segni di una evoluzione in corso: l’ecosistema del cyber crimine si sta nuovamente espandendo con modelli di business criminali estremamente pericolosi per le aziende che finiscono vittima del crimine cibernetico.
In questo articolo analizziamo il caso di Industrial Spy, un recente esempio di come una gang criminale emergente stia estendendo la filiera delle doppie estorsioni dando una nuova interpretazione alla commercializzazione dei dati sottratti alle aziende.
Indice degli argomenti
Nuovi rischi per aziende e persone
Industrial Spy è una gang criminale apparsa nei radar dei ricercatori di cyber sicurezza di sicurezza nei primi mesi del 2022, ma ciononostante, secondo i dati dell’osservatorio doubleetortion.com, ha già mietuto quasi 40 vittime.
La particolarità di questa gang non è di certo il fatto che utilizzi strumenti ransomware per condurre estorsioni, o che rubi interi lotti di dati riservati dai server interni delle aziende che prende di mira: questo già lo fanno ormai tanti gruppi criminali. Ma allora, perché è così particolare Industrial Spy?
Il motto dei criminali di Industrial Spy la dice lunga su come la gang si sia specializzata: “chi possiede l’informazione, possiede il mondo”.
Una frase tanto vera, quanto estremamente preoccupante per via dell’oscuro luogo dove appare. Questa frase indica chiaramente qual è la direzione evolutiva del gruppo: per i criminali l’accesso a dati e documenti delle aziende colpite è un fattore centrale.
Motto e home page del portale criminale di Industrial Spy.
La gang ha infatti organizzato il business criminale dei dati rubati su tre livelli distinti:
- un primo livello premium, dove i dati delle aziende vengono messi all’asta in a prezzi elevati, finanche a diversi milioni di dollari in bitcoin per l’accesso esclusivo e la “garanzia” di cancellazione dei dati dai server criminali;
- un secondo livello, dove i lotti di dati rubati dalle aziende sono venduti a più criminali;
- un livello di accesso libero, dove i dati rubati delle aziende possono essere scaricati gratuitamente da qualunque malintenzionato.
La particolarità dei dati rubati dalla gang è che si tratta di copie di documenti e file interni alle aziende violate: vere e proprie copie non autorizzate degli archivi aziendali contenenti brevetti, piani industriali, documenti di progetto, informazioni su infrastrutture informatiche, contrattualistiche, negoziazioni con clienti e fornitori, ed anche dati personali di dipendenti e salari di dirigenti.
L’e-commerce dei dati rubati
Benché il concetto di marketplace dei dati rubati non sia nuovo, già altre gang si sono mosse in questa direzione, come Marketo, protagonista del noto breach di dati della tedesca Puma (link), Industrial Spy alza l’asticella e si propone come una piazza di scambio per accedere ai segreti commerciali dei competitor, diagrammi tecnici e database di clienti per aziende e dirigenze tutt’altro che etiche.
Il modello di business di Industrial Spy ha infatti un punto di forza estremamente pericoloso per chi finisce vittima della gang: l’accessibilità ai dati.
La gang criminale infatti non solo utilizza il suo marketplace per condurre estorsioni alle aziende, ma rende accessibile ogni singolo file rubato in una sorta di e-commerce: un carrello digitale dove i malintenzionati possono selezionare uno per uno i singoli file rubati che intendono visionare.
Marketplace di Industrial Spy.
L’orientamento della gang criminale estende le doppie estorsioni nella direzione del B2C: i criminali di Industrial Spy intendono infatti monetizzare ogni singolo scaricamento di ogni singolo file rubato dalle loro vittime.
Questa nuova dinamica abilita una circolazione dei dati rubati molto più capillare. Intorno ad Industrial Spy, esistono ora le condizioni per lo sviluppo di un ecosistema micro-criminale dove i malintenzionati possono comprare singoli documenti a prezzi irrisori, appena un paio di dollari a file.
Carrello del Marketplace di Industrial Spy.
Nuovi rischi per aziende e persone
Le doppie estorsioni criminali sono minacce serie per il business delle aziende: il blocco operativo del business, le ripercussioni su reputazione e regolamentazioni privacy sono elementi concreti con cui le aziende si devono misurare durante una crisi cyber, motivo per cui oggi sempre più risulta necessario lo sviluppo di un piano per l’emergenza (link).
Tuttavia, il modo con cui Industrial Spy interpretano e operano le pratice criminali di doppia estorsione rappresentano un elemento evolutivo nel panorama cyber criminale: i documenti rubati dalle aziende vengono ora resi accessibili singolarmente e per pochi spiccioli, creando un pericoloso precedente che può amplificare sensibilmente la diffusione mirata di proprietà intellettuale e dati personali.
Una diffusione verso attori criminali che mai prima avrebbero investito migliaia di euro per centinaia di GB di dati rubati da una azienda, ma che ora possono accedere ai singoli dati aziendali, ai singoli contratti, ai singoli documenti funzionali ai loro scopi.
