La diffusione dei modelli ransomware nelle organizzazioni criminali rispecchia direttamente i progressi nelle tattiche di estorsione che esse adottano, da indiscriminate e di basso valore ad altamente mirate e redditizie.
Negli ultimi tempi, tali organizzazioni si sono evolute sino ad arrivare a essere industrie da miliardi di dollari e rappresentano oggi una seria minaccia di livello globale. Per buona percentuale, questa evoluzione non è stata determinata da grossi progressi tecnici ma dal modo attraverso il quale tali gruppi criminali hanno sfruttato i sistemi compromessi per estorcere le loro vittime.
Indice degli argomenti
Nuove tattiche di estorsione dei ransomware
Al principio del fenomeno ransomware la maggior parte degli attacchi osservati furono il frutto di campagne condotte “in serie” e rivolte al maggior numero di potenziali vittime possibile.
Nel momento in cui tali campagne riuscivano ad impattare grandi aziende, gli attaccanti potevano presumibilmente aspettarsi notevoli ricavi (come in molti casi è accaduto). Quando i gruppi criminali iniziarono a crescere nel business e nelle dimensioni dei loro rispettivi ecosistemi, iniziò ad affermarsi la tendenza ad eseguire attacchi maggiormente mirati verso realtà che avrebbero potuto garantire un maggior guadagno dalla singola operazione.
Ciò che iniziò a mutare radicalmente non fu la sofisticatezza o le tecniche degli attacchi (largamente ancora oggi basati sullo sfruttamento di servizi di accesso remoto scarsamente protetti, quali VPN/RDP, o mediante phishing) quanto le tattiche di estorsione.
In primo luogo, dunque, gli attacchi divennero molto più mirati. Invece di concentrarsi sulla quantità delle organizzazioni compromesse, i gruppi di ransomware iniziarono a prestare particolare attenzione nell’identificare obiettivi molto redditizi ponendo in essere una pratica nota come Big Game Hunting o “caccia grossa“.
In secondo luogo, le bande ransomware inclusero nel loro arsenale la minaccia di pubblicare i dati rubati dalle vittime nel corso degli attacchi.
Si diffonde la tecnica della doppia estorsione
La paternità di tale metodo va riconosciuta al gruppo criminale Maze che, a fine 2019, minacciò di utilizzare le informazioni sensibili trafugate da una delle sue vittime come base per compiere ulteriori azioni malevole. Minacciò, inoltre, la pubblicazione di tutti i file rubati nei quali erano presenti contratti, cartelle personali dei dipendenti, documenti che riguardavano i clienti e via dicendo.
Per dimostrare che la minaccia era reale, gli attaccanti pubblicarono online un campione dei file rubati.
Questa nuova tecnica, chiamata della “doppia estorsione”, fu presto copiata da altri gruppi criminali ed applicata come procedura di base per le tecniche di estorsione nella quasi totalità delle richieste di riscatto da lì in poi.
Come si sono affinate le strategie di ricatto
Essendo la ricerca e l’esfiltrazione dei dati sensibili divenuti oramai prassi nelle operazioni ransomware, gli attaccanti hanno da lì a poco iniziato a basare le proprie strategie di ricatto sulla base delle informazioni ivi contenute.
Per esempio non è raro osservare attaccanti richiedere riscatti sulla base delle informazioni contenute all’interno delle polizze assicurative delle quali entrano in possesso.
Leggendo i dati relativi alla polizza sugli attacchi cyber hanno un vantaggio strategico nelle fasi di contrattazione in quanto conoscono limiti di rimborso e casistiche previste dalla stessa. In questo modo è difficile per l’azienda vittima negoziare asserendo che una richiesta di riscatto sia eccessiva se attestata poco sotto il limite del massimale previsto.
Le altre tecniche adottate dai gruppi ransomware
Un’altra tecnica adottata da diversi gruppi criminali è quella di utilizzare le informazioni personali acquisite durante l’attacco per chiamare i dipendenti stessi delle organizzazioni colpite al fine di spingere i loro capi a pagare il riscatto.
Attraverso tale tecnica gli attaccanti mirano a far leva sulle disattese responsabilità della dirigenza che non ha saputo proteggere al meglio le informazioni dei dipendenti. Oltremodo, in qualche caso, gli attaccanti hanno prospettato ai dipendenti la possibilità di rifarsi legalmente sulla società qualora questa avesse permesso la pubblicazione di file o documenti privati relativi ad i loro profili.
In altre occasioni gli attaccanti hanno contattato i clienti della società colpita o i legittimi intestatari dei dati che questa avrebbe dovuto proteggere.
In tali casi è stato possibile assistere o ad una richiesta di denaro rivolta direttamente a loro (paventando la promessa di non pubblicare selettivamente i dati di coloro i quali avessero pagato) o alla condivisione con essi di campioni di dati sperando di aumentare la pressione sulla dirigenza della società colpita e di conseguenza le possibilità di ottenere un pagamento in tempi brevi.
Altre tecniche di estorsione prevedono la conduzione di attacchi a negazione di servizio, DoS o DDoS, verso siti o portali web della vittima a seguito di una intrusione già avvenuta ed una trattativa già in corso. Soprattutto in organizzazioni che basano in tutto od in parte la propria attività sul web, questa tipologia di attacchi potrebbe significare ulteriori perdite economiche ed in tutti i casi avrebbe impatti sull’immagine dell’azienda nonché sulla loro presenza online.
Conclusioni
Le recenti vicende di diversi gruppi ransomware hanno aumentato moltissimo la pressione mediatica contro questa tipologia di minaccia spingendo le forze di polizia di diversi Paesi a concentrarsi maggiormente sulla repressione di tali operazioni.
Nell’immediato futuro sarà probabilmente possibile assistere ad un aumento dell’attenzione degli attori di minaccia al mantenimento di un maggiore equilibrio fra le richieste imposte alle vittime (ed alla visibilità che esse potrebbero generare) ed il perseguimento dei loro obiettivi.
Questo potrebbe tradursi, quanto meno per alcuni gruppi, nell’aumento di operazioni che non contemplino impatti sulla disponibilità dei dati (quindi che non prevedano, per esempio, la crittografia degli stessi) ma che si limitino alla loro acquisizione ed alla minaccia di una loro pubblicazione.
