Se è vero che le ultime settimane hanno visto l’apparente uscita di scena – ma di questo c’è poco di cui gioire – di uno dei protagonisti del ransomware negli ultimi anni (MAZE), questo non significa che il mondo del cyber crime, in particolare quello delle estorsioni, abbia fatto un passo indietro. Anzi, un altro gruppo di operatori ransomware ha aggiunto una nuova arma al suo arsenale di strumenti per il ricatto: pubblicità targettizzate su Facebook per costringere le vittime a pagare i riscatti.
Indice degli argomenti
L’evoluzione del ransomware moderno
Gli albori del ransomware come lo conosciamo oggi – nel 2013 con CryptoLocker – erano caratterizzati da un processo abbastanza lineare: l’infezione bloccava i dati di sistemi e device vari fino a quando non veniva pagato il riscatto per ottenere un decryptor.
Ma negli ultimi 18 mesi il ransomware è diventato una delle principali fonti di guadagno dei gruppi di criminal hacker organizzati, con una conseguente evoluzione delle tecniche impiegate.
Nel novembre dello scorso anno, proprio MAZE aveva dato il via alla pratica dell’esfiltrazione dei file dai sistemi vittima oltre alla cifratura dei dati.
Noto come doppia estorsione, questo metodo era stato studiato per mettere ancora più pressione ai target mettendoli difronte alla scelta di dover affrontare anche pesanti conseguenze dal punto di vista della brand reputation oltre alle inevitabili sanzioni da parte degli organi competenti in materia di tutela del dato e della privacy.
Queste minacce erano state confermate dal proliferare di siti “data leak” dove piccoli campioni dei dati esfiltrati venivano pubblicati a mo’ di monito per le vittime nel caso tardassero nel pagamento.
Pratica che è ancora molto in voga.
Ma nell’anno dalla prima comparsa di questi siti, i criminal hacker sono diventati ancora più astuti e “mediatici”. Da veri e propri comunicati stampa in cui venivano nominate una ad una le vittime dei loro attacchi fino a contatti diretti con gli organi di stampa per annunciare attacchi in corso o ancora non scoperti!
Il ransomware sbarca su Facebook
Ora sembra addirittura che i criminal hacker abbiano spostato le loro campagne di ricatto sui social media, una mossa non del tutto inaspettata vista la progressione quasi naturale dai media tradizionali che porta ai social.
Proprio pochi giorni fa gli operatori di Ragnar Locker hanno fatto questo salto di livello. Come? Hackerando un account di un utente specializzato in Facebook ads e creando una campagna pubblicitaria che sponsorizzava il loro attacco ai danni del Gruppo Campari.
L’azienda italiana, proprio la scorsa settimana, aveva subito un attacco ransomware da parte di Ragnar Locker che – secondo i criminal hacker stessi – aveva fruttato 2 Terabyte di dati non criptati; oltre all’inevitabile blocco della rete di Campari.
La richiesta di ricatto? Si parla di quasi 15 milioni di dollari.
Come riportato per la prima volta da Brian Krebs, la gang di Ragnar Locker si è introdotta in un account di Facebook per pubblicare annunci pubblicitari che avvertono Campari che i loro dati sarebbero stati pubblicati se non avessero pagato il riscatto.
Questo annuncio su Facebook è stato intitolato “Violazione della sicurezza della rete del Gruppo Campari” dal “Ragnar_Locker Team” e ha avvertito che altri dati sensibili sarebbero stati pubblicati.
Chris Hodson, il proprietario dell’account Facebook, ha detto che l’annuncio è stato visto da più di 7.000 utenti Facebook prima che Facebook stessa lo rilevasse come una campagna fraudolenta.
I criminal hacker specializzati in ransomware hanno a lungo minacciato di intensificare i loro tentativi di estorsione contattando le borse, i principali media e i clienti in merito agli attacchi e alla perdita di dati delle vittime interessate.
Questa nuova tattica di promozione attraverso Facebook mostra e dimostra la loro continua evoluzione nelle tattiche di estorsione ransomware.
Con richieste di riscatto e pagamenti per decine di milioni di euro, possiamo aspettarci un’ulteriore escalation in futuro.
La pesante eredità di MAZE
È questa la vera eredità che lascia dietro MAZE, il pioniere del doppio riscatto.
Lo scioglimento del gruppo, anche se in superfice poteva sembrare una notizia positiva, invece lascia aperte molte questioni.
In particolare, per l’improvviso surplus di skill in criminal hacking e il rapporto di stretta collaborazione che questi avevano con altre organizzazioni di cyber criminali.
Sappiamo già che MAZE aveva rapporti stretti con altri due gruppi di criminal hacker: LockBit e Ragnar Locker, oltre ad essere più volte stato accostato a Egregor.
Il breve periodo tra la “cessata attività” di MAZE e l’improvvisa escalation nelle tattiche di estorsione di Ragnar Locker, quindi, potrebbe non essere del tutto casuale, anzi.
Uno degli scenari più plausibili è che MAZE abbia semplicemente deciso di sciogliersi e “ri-brandizzarsi” sotto nuovo nome trasferendo gran parte delle sue skill in un altro gruppo con il quale aveva già rapporti.
Le competenze non sono andate perse né tantomeno sono state tolte dal mercato, ma suddivise e trasmesse in altri gruppi che hanno ricominciato proprio da dove MAZE aveva lasciato.
Non abbassiamo la guardia.
