Il ransomware rimane una delle cyber minacce più temute nel vasto arsenale in possesso dei criminal hacker: probabilmente, tra i cyber incident, l’unico pericolo comparabile è il data breach (ovviamente tenendo presente che questo può essere talvolta anche accidentale). Ma l’ultimo trend tra gli operatori del ransomware potrebbe aver creato la tempesta perfetta, unendo il potere disruptive dell’infezione alla possibilità di dover fare i conti allo stesso tempo con una violazione e divulgazione dei propri dati: stiamo parlando della doppia estorsione.
In quello che è diventato un vero e proprio modus operandi a partire dal primo trimestre del 2020, i criminal hacker stanno aggiungendo un’ulteriore fase ai loro attacchi. Prima di criptare i database delle vittime, gli aggressori estraggono grandi quantità di informazioni sensibili e minacciano di pubblicarle a meno che non vengano pagate le richieste di riscatto.
Di fatto aggiungono un altro layer di pressione nei confronti delle vittime, aumentando parallelamente il valore della richiesta economica che viene recapitata.
Indice degli argomenti
Ransomware e doppia estorsione: perché questa evoluzione
Ovviamente la prima domanda che viene spontaneo porci di fronte all’insorgere di questo nuovo fenomeno è cosa abbia spinto i criminal hacker a compiere questo step, intensificando il livello di minaccia portato dal ransomware.
Dopotutto non è certo da quest’anno che questi hanno avuto la possibilità di accedere ai dati delle organizzazioni prese di mira.
L’ipotesi più concreta è che questo metodo sia una risposta alla presa di posizione delle aziende di fronte ai ransomware, meno inclini a pagare, e alla maggiore efficacia delle misure di recovery.
Testimonianza di come le best practice contro queste infezioni stiano finalmente prendendo piede in maniera diffusa, costringendo i criminal hacker ad attacchi ancora più intensi.
La tattica della doppia estorsione, però, potrebbe non rivelarsi la carta vincente per gli aggressori, come vedremo più avanti nell’articolo, anzi potrebbe metterli ancor di più in difficoltà.
Ransomware e doppia estorsione: l’inizio
Il primo caso rilevato di doppia estorsione – nel novembre 2019 – riguardava la Allied Universal, una grande società di sicurezza americana.
Quando le vittime si sono rifiutate di pagare un riscatto di 300 Bitcoin (circa 2,3 milioni di dollari), gli aggressori – che hanno usato il ransomware Maze – hanno minacciato di usare informazioni sensibili estratte dai sistemi della società oltre a email e nomi di dominio rubati per una campagna di phishing che impersonava la Allied Universal stessa.
A riprova del fatto che non si trattava di una minaccia vuota, gli aggressori hanno pubblicato un campione dei file rubati, tra cui contratti, cartelle cliniche e altro ancora.
In un post successivo su un forum russo di hacking, gli aggressori hanno inserito un link a quello che secondo loro era il 10% delle informazioni rubate e una nuova richiesta di riscatto superiore del 50% rispetto alla precedente.
TA2101, il gruppo dietro il ransomware Maze (attivo anche in Italia), ha creato da allora una pagina web dedicata che elenca le identità delle vittime “non cooperative” e pubblica regolarmente campioni dei dati rubati.
Da allora Maze ha pubblicato i dettagli di decine di aziende, studi legali, fornitori di servizi medici e compagnie assicurative che non hanno ceduto alle loro richieste.
Ma si stima che molte altre società abbiano evitato la pubblicazione dei loro dati sensibili pagando il riscatto richiesto.
Una nuova tendenza criminale
Altri gruppi di criminal hacker hanno seguito questa nuova tattica, aprendo a loro volta siti per pubblicare e diffondere le informazioni rubate come mezzo per esercitare ulteriore pressione sulle loro vittime affinché paghino il riscatto.
Sodinokibi (alias REvil) era stato uno dei prima a emulare Maze.
I criminal hacker dietro questo strain di ransomware hanno pubblicato i dettagli dei loro attacchi contro decine di bersagli, nonché informazioni aziendali (che spesso avevano a che fare con l’IP dei prodotti) rubate alle organizzazioni prese di mira.
La National Eating Disorders Association americana è stata una delle vittime più celebri nell’elenco dei bersagli infettati.
Qual è l’iter del doppio riscatto
Avendo modo di poter osservare sempre più casi simili, è facile tracciare un primo iter di come operano questi attacchi con doppio riscatto.
Dopo l’infezione e l’esfiltrazione di dati, alle vittime vengono recapitati alcuni screenshot delle informazioni rubate.
Queste servono solo a convincere le vittime a pagare il riscatto.
Se il pagamento non viene effettuato in tempo, gli aggressori danno seguito alla loro minaccia e mettono i file riservati a disposizione sul web per il download.
È questa la forza del doppio riscatto: se le organizzazioni non cedono alle richieste di riscatto, gli aggressori pubblicheranno i dati rubati e l’organizzazione dovrà denunciare la violazione al Garante della privacy che a sua volta potrebbe infliggere una grossa multa all’azienda.
Dopo Sodinokibi, sul “carro” del doppio riscatto sono saliti anche altri ransomware come Clop, Nemty, DopplelPaymer e nelle ultime settimane Conti, un ceppo relativamente nuovo di ransomware, gestito dallo stesso gruppo che ha condotto gli attacchi ransomware Ryuk in passato.
Tutto sommato, il lancio dell’ennesimo sito data leak dimostra che lo schema della doppia estorsione è qui per rimanere e far parte del modus operandi della maggior parte dei criminal hacker.
Ransomware e doppia estorsione: non solo “i grandi” nel mirino
La tattica si è dimostrata così efficace da arrivare anche a colpire singoli utenti sui propri device mobile.
Qualche mese fa, un malware che tentava di sfruttare l’onda della pandemia è stato camuffato da app di tracciamento. In realtà questo criptava i contenuti degli utenti e minacciava di diffondere tutte le informazioni e i media che trovava sul dispositivo.
Uno spartiacque
Questa nuova ed evoluta ondata di attacchi offusca la linea di demarcazione tra gli attacchi ransomware “tradizionali” e i data breach “ordinari”.
L’unica cosa certa è che le potenziali vittime si trovano in una brutta posizione.
Fino a prova contraria, esse devono presumere di essere soggette a una violazione dei dati, mentre legalmente non possono evitare la divulgazione pubblica dell’incidente. Il ricorso ai backup non pone chiaramente fine all’attacco. Peggio ancora, c’è la consapevolezza che il pagamento del riscatto non garantisce che l’aggressore non venderà le informazioni a terzi.
L’incertezza potrebbe portare a un effetto opposto a quello che vogliono gli aggressori – il pagamento – poiché le aziende trovano meno attraente che mai l’opzione di cedere alle richieste.
Dopotutto, anche dopo aver effettuato il pagamento, devono rivelare alle autorità i dettagli dell’attacco, sperando di non incorrere in sanzioni, subire un danno critico alla loro reputazione, sobbarcarsi i costi di ripristino e recupero e, ovviamente, le possibili ricadute legali.
Forse è proprio questo ragionamento che ha portato alcuni operatori di ransomware come BitPaymer, WastedLocker, LockBit, ProLock e la famiglia Dharma a scegliere di non pubblicare parte del loro “bottino” per ricattare le vittime.
L’unica cosa certa al momento è che il ransomware è diventato ancora più pericoloso.
