I cyber criminali sono sempre alla ricerca di nuove tecniche malevoli che consentano loro di rendere gli attacchi informatici sempre più efficaci e, come nel caso dei ransomware, anche remunerativi: tra queste, quella che sta riscuotendo più successo proprio tra gli operatori di ransomware è l’estorsione social.
Originariamente, la natura del ransomware era puramente commerciale: si riceveva un’e-mail indesiderata, si cliccava su un link o si apriva un allegato e il computer eseguiva il file binario del ransomware, che cifrava tutti i file generati dall’utente.
Il processo di recupero dei dati era piuttosto semplice. Si poteva ripristinare i file dai backup (dopo un re-imaging completo del computer), oppure si inviavano Bitcoin ai criminali in cambio della chiave di decifratura. Con il passare del tempo, i cyber criminali hanno trovato il modo di comunicare con le vittime e l’approccio è diventato più personale.
Queste comunicazioni erano principalmente scritte con l’auspicio di trovare un’attitudine di collaborazione. In questo modo, i criminali non solo assumevano un aspetto più “professionale”, ma offrivano anche ad alcune vittime la possibilità di negoziare i termini di pagamento.
Indice degli argomenti
Ransomware: l’estorsione diventa social
Nel mese di ottobre del 2019, il panorama del ransomware ci ha dato un assaggio del futuro. Un gruppo che si faceva chiamare Shadow Kill Hackers ha attaccato la città di Johannesburg, sostenendo di aver rubato dati da sistemi compromessi.
La differenza in questo caso è stato che i cyber criminali non hanno cifrato alcun file. Si è trattato di un attacco di natura puramente sociale, in quanto gli hacker hanno minacciato di pubblicare informazioni finanziarie e personali dei cittadini di Johannesburg, qualora non fosse loro pervenuto un pagamento di 4 BTC.
La città rifiutò categoricamente la richiesta di riscatto e i cyber criminali sparirono. In meno di un mese, questa nuova tattica ha attirato l’attenzione di gang di criminali informatici più serie.
I criminali del ransomware Maze hanno cominciato a integrare nei loro attacchi questa tattica di furto e condivisione come ulteriore strategia di estorsione.
Il primo incidente di questo tipo si è verificato a novembre del 2019, quando questi criminali hanno pubblicato una parte dei dati prelevati illecitamente da una vittima come dimostrazione di quello che erano capaci di fare, aumentando la pressione sociale nei confronti dell’azienda che si era rifiutata di pagare.
Da allora, i cyber criminali di Maze hanno continuato ad adottare questo comportamento, seguiti da altre rinomate gang di ransomware.
Una nuova era dei cyber attacchi
Oggi non è insolito che le vittime di un attacco di ransomware vengano ricattate utilizzando la minaccia di pubblicare i loro dati se non pagano un riscatto.
Abbiamo notato che alcuni criminali approfittano dell’accesso completo ai sistemi compromessi di un’organizzazione per istigare i dipendenti all’ostilità verso i propri dirigenti e il reparto IT, minacciando di rendere pubblici i dati dei dipendenti se l’azienda dovesse rifiutarsi di entrare in trattativa con i criminali per concordare un pagamento.
Sebbene sia troppo presto per stabilire se questa forma di pressione sociale possa essere più lucrativa rispetto ai metodi tradizionali, sicuramente è foriera di una nuova era del ransomware, in cui pressione sociale ed esposizione al ludibrio vengono utilizzate per riempire le tasche dei cyber criminali.
