I ransomware continuano a essere tra le minacce più aggressive e diffuse degli ultimi anni: trattasi di codici malevoli in grado di distruggere le operazioni delle principali aziende di qualunque settore e di trafugare grandi quantità di dati dai sistemi infetti.
Secondo il rapporto pubblicato dall’azienda di sicurezza Sophos e intitolato The State of Ransomware 2021, il 31% delle aziende italiane sono state colpite da un attacco ransomware nel 2020. Nel 34% dei casi, le intrusioni sono andate a buon fine e sono stati cifrati i dati delle vittime. Dati allarmanti che confermano la pericolosità della minaccia.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
Ransomware: le nuove modalità estorsive
A preoccupare, tuttavia, sono le modalità estorsive implementate dalle principali gang criminali dietro queste minacce: le metodiche per obbligare le vittime al pagamento sono evolute nel tempo divenendo sempre più pericolose ed efficaci.
Va detto che tutti i principali gruppi ransomware offrono il proprio malware con una modalità a servizio, nota come Ransomware-as-a-Service (RaaS), un servizio completo che consente agli affiliati di doversi preoccupare solo di distribuire la minaccia in cambio del ransomware e della piattaforma per gestirlo.
I clienti di queste gang criminali costituiscono una vera e propria rete di affiliati che, come vedremo, sarà determinante per l’evoluzione delle azioni estorsive.
Maze e la doppia estorsione
Per meglio comprendere come sia variata nel tempo la pratica estorsiva dobbiamo fare un balzo indietro nel tempo sino alla fine del 2019, quando il gruppo criminale Maze per primo decise di implementare un doppio modello di estorsione.
Sino ad allora le vittime di un attacco ransomware potevano decidere di non pagare qualora disponevano di backup da cui poter recuperare i file cifrati dai ransomware: per questo motivo, gli operatori Maze decisero di adottare una tattica differente.
Il gruppo Maze non solo cifrava i dati, bensì rubava gli stessi per poi minacciare di pubblicarli online causando evidenti problemi alle vittime che, quindi, messe sotto pressione optavano per il pagamento del riscatto.
Il gruppo è stato pioniere nell’implementare la nuova tecnica, i dati esfiltrati dalle vittime venivano pubblicati sul leak site del gruppo, ovvero un sito web sulla rete Tor contenente l’elenco delle vittime e lotti di file rilasciati come prova dell’attacco.
Nei mesi successivi la pratica della doppia estorsione si è rapidamente diffusa nell’ecosistema criminale e molti gruppi hanno messo in piedi il loro leak site per la pubblicazione dei dati delle vittime, come dimostrato dalla seguente immagine che riporta l’attività nella rete Tor delle principali ransomware gang.
Tripla estorsione: si aggiungono gli attacchi DDoS
Dall’inizio di marzo di quest’anno, gli operatori dietro il ransomware REvil/Sodinokibi hanno annunciato una nuova modalità estorsiva oltre a quella della doppia estorsione descritta.
Il gruppo ha messo a disposizione dei suoi affiliati un servizio per condurre attacchi di DDoS contro le vittime che, eventualmente, non dovessero essere propense al pagamento del riscatto nonostante la minaccia della pubblicazione dei dati rubati. Il modello descritto implementa un modello di tripla estorsione ai danni delle vittime.
Se un ransomware minaccia gli equilibri del petrolio: la nostra fragilità ci può costare carissima
La tecnica della quadrupla estorsione
Sempre lo stesso gruppo ha anche annunciato, insieme ad altre gang, di voler effettuare anche chiamate vocali ai partner commerciali della vittima e ai giornalisti per costringere loro a pagare il riscatto. In quest’ultimo scenario parliamo di quadrupla estorsione.
Evidentemente non può finire qui, i criminali continuano ad elaborare nuove strategie per indurre le vittime al pagamento. Di recente, il gruppo dietro il ransomware Darkside ha annunciato l’intenzione di colpire le società quotate al NASDAQ o ad altri mercati azionari con una nuova tecnica.
Il gruppo intende far trapelare le informazioni rubate dai sistemi di queste società per influenzarne il prezzo delle azioni e guadagnare speculando sui possibili ribassi del loro valore dovuto alla divulgazione dei dati.
Questa è una tattica senza precedenti nell’ecosistema del crimine informatico.
Non vi è dubbio, nei prossimi mesi il ransomware continuerà a minacciare le nostre imprese e il numero di attacchi continuerà ad aumentare, molto probabilmente osserveremo nuove efficaci metodiche di estorsione.
