L’ultima novità negli attacchi ransomware è la tripla estorsione: oltre a richiedere il riscatto all’azienda e a farne trapelare i dati, adesso le richieste di riscatto vengono recapitate anche singolarmente ai clienti dell’azienda stessa.
Indice degli argomenti
Ransomware e tripla estorsione: evoluzione del cyber crimine
Negli ultimi 12 mesi la tattica standard per i gruppi di criminal hacker specializzati in ransomware è stata quella di creare siti di data leak in cui caricare e far trapelare documenti sensibili delle aziende loro vittime che ancora sono refrattarie a pagare le richieste di riscatto per ottenere un decryptor.
Questi siti di data leak fanno parte di una “corrente” che si sta formando negli ambienti del cyber crime. Chiamata doppia estorsione, la tattica ha già dato i suoi frutti.
Ma, come per ogni tecnica che i criminal hacker riescono a sviluppare, esistono contromisure che – rapidamente o meno – vengono inevitabilmente adottate dalle organizzazioni per far fronte alle minacce emergenti. Misure che diminuiscono l’efficacia degli attacchi e dei ricatti dei criminal hacker.
Nel caso dei siti di data leak, le aziende hanno iniziato ad agire proattivamente intercettando questi database di dati nel Dark Web, attraverso la Threat Intelligence, riuscendo a isolarsi o a chiuderli rapidamente.
Una misura cerotto, sicuramente, ma che comunque diminuisce il valore shock del doppio ricatto.
Di conseguenza, i criminal hacker hanno risposto mettendo a punto la tecnica della tripla estorsione. E già iniziano ad esserci le prime vittime.
Il caso più eclatante si è presentato in Finlandia, dove il data breach dell’azienda Vastaamo, specializzata in supporto psicoterapeutico, è stato teatro di questo nuovo modus operandi.
Il data breach di Vastaamo in dettaglio
Molti pazienti hanno riferito di aver ricevuto e-mail con una richiesta di 200 euro in Bitcoin per evitare che il contenuto delle loro discussioni con gli psicologi fosse reso pubblico.
Un caso che addirittura ha raggiunto i vertici del governo finlandese che si è già riunito per discutere l’accaduto.
Stando alle fonti governative, si ritiene che il numero di pazienti le cui cartelle cliniche sono state compromesse sia pari a decine di migliaia.
Vastaamo ha detto di aver avviato un’indagine interna e che la sicurezza del suo database di cartelle cliniche dei pazienti è stata controllata.
Ma ha anche fatto notare che il furto vero e proprio potrebbe essere avvenuto due anni fa.
Apparentemente, però, un file di 10 gigabyte contenente le cartelle cliniche di almeno 2.000 pazienti e dei loro dottori è apparso nel Dark Web solo recentemente.
L’attacco, che ha preso di mira alcuni dei soggetti più vulnerabili della società – tra cui i bambini – ha causato uno shock diffuso nel Paese nordico di 5,5 milioni di persone. I ministri si sono riuniti domenica per discutere su come sostenere i pazienti i cui dati erano trapelati.
La timeline dell’accaduto non è chiarissima. Perché non si sa con certezza quando e come i dati siano stati esfiltrati né se l’azienda ne fosse al corrente, ma abbia scelto di tacere a riguardo.
L’unica certezza è che adesso si è aperta una terza via nel mondo di ricatti legati al cyber crime; una dimensione dove nel mirino finiscono irrimediabilmente ancora di più gli utenti e i clienti finali.
Si ricatta l’azienda: sia con il data breach sia con il ransomware (anche se questo forse non era il caso) e poi si fa leva sul sentir comune andando ad aggredire i singoli.
È uno scenario abbastanza agghiacciante, soprattutto vista la riservatezza dei dati in oggetto.
Sintomo anche di come lo scenario socio-economico globale stia inasprendo l’aggressività del cyber crime e spezzando anche quella sottilissima barriera etica che fino ad oggi aveva reso casi come questo rarissimi o quasi mai rilevati.
Ransomware e tripla estorsione: nuovo paradigma del cyber crime
Questo caso potrebbe rivelarsi il primo di una lunga serie, come è accaduto poco tempo fa quando le gang del ransomware si sono spostate una ad una verso l’utilizzo di un sito apposito di data leak per mettere ulteriore pressione sulle vittime.
Forse si tratta solo di una questione di tempo.
I dati sono sempre di più “l’oro della Rete” e quelli medici, storicamente, sono i più ricercati e quelli di maggior valore.
Le possibilità che apre il caso di Vastaamo sono spaventose.
Le vittime, in questo, caso erano soggetti a rischio, quindi facilmente ricattabili, garantendo un facile guadagno ai criminal hacker.
Ma volendo allargare un attimo la prospettiva, potremmo ipotizzare che questo tipo di ricatto di terzo grado potrebbe alimentare ulteriormente la fucina del cyber crime. Come?
Oggi sappiamo che gli attacchi ransomware sono il pericolo numero uno.
Recentemente, i gruppi dediti a questo malware hanno già iniziato a intaccare anche i dati delle aziende che colpiscono, esfiltrandoli, non paghi del guadagno garantito dal semplice “blocco macchine”.
Adesso la possibilità che questi dati esfiltrati vengano rivenduti a terzi nel mondo del cyber crime per attuare campagne di ricatto ad personam come quella di Vastaamo aumentano ancora di più gli incentivi per portare avanti attacchi contro le organizzazioni in possesso di questi dati.
Forse siamo di fronte a una svolta ancora più aggressiva da parte dei criminal hacker, forse Vastaamo rimarrà un caso isolato, ma non possiamo lasciare che questa decisione rimanga nelle mani dei criminal hacker.
Adesso più che mai, con il ritorno diffuso allo smart working e dei lockdown in Europa, dobbiamo pensare a rafforzare i nostri perimetri di sicurezza digitale.
Non abbassiamo la guardia.
