Una funzionalità appena implementata dal ransomware BlackCat (conosciuto anche come ALPHV) esporrà le vittime colpite anche su Internet, con una diffusione più massiccia e pubblica dei dati rubati: la nuova tattica estorsiva è stata usata per la prima volta lo scorso 26 dicembre, dopo che l’attore della minaccia ha pubblicato sul suo Data Leak Site un post con cui rivendicava di aver compromesso un’azienda di servizi finanziari.
Poiché la vittima non ha soddisfatto le richieste di riscatto, BlackCat ha pubblicato come di consueto i file rubati decidendo di far trapelare i dati anche su un sito Web clone identico a quello della vittima, sia per quanto riguarda l’aspetto che per il nome del dominio.
Una nuova regola sulla gestione dei dati rubati alle vittime durante gli attacchi informatici il cui scopo è quello di aumentarne la “potenza esplosiva”: in pratica, una copia dei dati finisce anche sulla Internet classica, quella che tutti conosciamo, liberamente accessibile senza software aggiuntivo o particolari connessioni di terze parti (normalmente, questa ransomware gang opera unicamente sotto rete Tor).
Indice degli argomenti
AlphV/BlackCat impersona il sito Web della vittima
In particolare, la nuova tecnica infatti prevede che, qualora non si riesca a portare a termine gli accordi minacciati durante il furto dei dati, il gruppo criminale riesca ad acquistare e mettere online un sito Web, pubblicamente accessibile, con un nome di dominio simile a quello del sito ufficiale e dal contenuto grafico che riprende esattamente il sito istituzionale della stessa vittima.
All’interno di questo sito però, i criminali diffondono gli elenchi dei file rubati, diffusi così pubblicamente a tutti i visitatori nel Web che tutti conosciamo, indicizzabile senza difficoltà anche nei motori di ricerca più noti.
Nel caso specifico, il primo appunto che fa scuola, su questa nuova tecnica, è stato sufficiente acquistare un dominio .com, esattamente identico all’originale, ma unicamente con una lettera doppia in meno. Divenendo così contemporaneamente differente dall’originale per il registrar, ma molto simile per il pubblico e il visitatore finale che invece, finirà per trovarsi dentro una pagina Web governata dal gruppo criminale e contenente dati sensibili interni alla società rubati con il crimine informatico, in piena diffusione pubblica.
Tecniche malevole sempre in evoluzione
Non è dato sapere, per il momento, se questa tecnica possa effettivamente funzionare, nell’intento criminale per la quale viene concepita. Certo è che i criminali informatici, in questo caso il gruppo di ransomware BlackCat, una volta operata e portata a termine l’esfiltrazione illecita dei dati interni ad una organizzazione, sono liberi di farne qualsiasi cosa possa venir in mente alla propria creatività, agendo impuniti e senza restrizioni. Nel caso specifico infatti, il sito Web è, al momento della stesura di questo articolo, ancora attivo e consultabile.
A giugno scorso, la stessa ransomware gang, aveva già sperimentato ed implementato un nuovo metodo estorsivo, facendo atterrare nel Web in chiaro i contenuti sensibili rubati dalle vittime, usufruendo dei domini “.xyz”. È evidente che ci sia un’attenzione particolare, nel gruppo, verso l’esportazione extra rete Tor, per i contenuti sensibili oggetto di contesa con la vittima colpita, a beneficio di una diffusione quanto più possibile pubblica, atta ad amplificarne il danno reputazione nel nome dell’organizzazione presa di mira dall’estorsione.
Un’attività estorsiva che si potenzia ulteriormente, infliggendo sicuramente ancora più preoccupazione in organizzazioni ed enti, dovute proprio dal fatto che ora i dati saranno presenti anche su Internet, sotto il nome aziendale peraltro, che con una SEO malevola, potrebbe metterne a rischio gravemente la reputazione anche nei motori di ricerca.
