Il trend 2020 che ha visto una crescita esponenziale dei ransomware non sembra destinato a interrompersi. Le organizzazioni criminali dietro a questi temuti malware stanno modificando il loro approccio, dando priorità al furto di dati dalle postazioni di lavoro utilizzate da dirigenti e dipendenti apicali all’interno delle organizzazioni target. L’obiettivo? Trovare informazioni preziose da riutilizzare durante l’estorsione.
Questa nuova strategia, improntata a una maggiore rapidità e incisività, è rivolta alla ricerca di informazioni “succulente” che possono poi essere utilizzate per fare pressioni e convincere le vittime a cedere al ricatto e far approvare transazioni a 6 o più cifre da parte della società in cui lavorano. Lo sappiamo grazie alla notizia che una società avrebbe pagato un riscatto multimilionario alla gang che tira le fila del ransomware Clop.
Riscontri concordi provenienti da altre vittime di Clop, e contatti via email con diverse aziende di sicurezza informatica, ci hanno successivamente confermato che non si è trattato di un caso isolato, ma di una tecnica messa a punto negli ultimi mesi.
L’architettura del ricatto
Questa tecnica rappresenta un’evoluzione rispetto a quanto visto finora. Infatti, se fino ad oggi, gli attacchi ransomware finalizzati alla riscossione di un riscatto avevano solitamente nel mirino la società nel suo insieme, l’approccio avrebbe ora connotati molti più intimi e personali, mettendo nel mirino decision-maker all’interno delle organizzazioni.
Negli ultimi due anni, le bande dei ransomware si sono quindi evolute, passando dal prendere di mira utenti domestici attraverso attacchi casuali, al dare la caccia alle grandi aziende con aggressioni molto mirate.
Il flusso degli attacchi segue spesso questa successione: i gruppi violano le reti aziendali, rubano file sensibili, rendendoli illeggibili sui data center aziendali tramite cifratura, e infine lasciano note di riscatto sui computer compromessi.
In alcuni casi la nota di riscatto comunica chiaramente alle società coinvolte che devono pagare la cifra oggetto del riscatto per ricevere una chiave di decrittazione. In caso di furto dei dati, alcune note di riscatto informano anche le vittime che, nel caso in cui decidessero di non pagare il riscatto, i dati rubati saranno pubblicati sui cosiddetti “leak sites” (in cui vengono rivelati i dati sensibili sottratti).
Il processo psicologico sottostante questa architettura criminale è semplice: i gruppi criminali specializzati nell’uso di ransomware sono convinti che le aziende cercheranno disperatamente di evitare la pubblicazione di dati che potrebbero favorire la concorrenza o danneggiare la reputazione societaria. Messe con le spalle al muro, le aziende saranno fortemente “incentivate” a pagare il riscatto invece che seguire la via del ripristino dati da backup.
In altri casi, il carattere estorsivo percorre un ulteriore via: alcune gang, infatti, fanno leva sull’argomento del data breach (violazione di dati sensibili) che in alcuni ordinamenti viene punito con multe salate da parte delle autorità competenti. Questo danno finanziario si andrebbe così a sommare a quello alla reputazione. È facile capire perché le aziende vogliano fare il possibile pur di evitare di trovarsi in questa scomoda posizione.
L’estorsione come questione personale
Tuttavia, le gang del ransomware non sempre sono in grado di mettere le mani su dati ad alto valore o su informazioni sensibili in tutte le incursioni nei sistemi informatici societari. Non sempre avranno quindi la necessaria leva negoziale per fare pressione sulle vittime. Per ovviare a questo problema, un gruppo che ha spesso utilizzato ransomware del ceppo Clop ha cercato specificamente di violare le postazioni di lavoro utilizzate dai top manager aziendali.
Una volta introdottosi nel sistema informatico, il gruppo passa al setaccio i file e le email del manager ed estrapola i dati che ritiene possano essere utili per minacciare, mettere in imbarazzo o comunque fare pressione sul management di un’azienda. I dati vengono così sottratti alle stesse persone che molto probabilmente dovranno approvare o meno la richiesta di riscatto. Questo nuovo modus operandi dei threat actor che orchestrano i ransomware non ci sorprende. Nel percorso evolutivo di queste organizzazioni criminali, è sempre stata visibile un’attenta pianificazione, orientata alla massimizzazione del ritorno economico.
Quando rilascia un ransomware all’interno di un computer aziendale, il gruppo hacker cerca solitamente di fare “colpo grosso”. Dal lato dell’efficienza operativa, è chiaro che una violazione in computer con credenziali admin possa avere un impatto maggiore.
Una tecnica già vista ma con connotati meno brutali
Da quanto visto finora, tale approccio è stato utilizzato solo in violazioni con ransomware Clop. Tale escalation era logica e inevitabile, visto anche l’affinarsi delle contromisure aziendali verso questo tipo di offensive.
Per far fronte a questo sforzo difensivo da parte dei sistemi informatici societari, negli ultimi due anni, le tattiche usate dai gruppi di riscatto sono diventate sempre più estreme. Ora non paiono più esserci vincoli, neanche di natura etica. Ogni metodo è lecito pur di far pressione sulle vittime.
Il fronte delle minacce non si limita all’ambiente prettamente informatico. In alcuni casi si sono anche viste telefonate moleste e minacciose sia ai dirigenti che ai clienti (finanche ai partner commerciali dell’azienda target), post su Facebook, comunicati stampa e altre comunicazioni via social con il solo obiettivo di fare pressione.
Come difendersi da questi attacchi
Abbiamo già visto in articoli precedenti alcune tecniche utili per rendere meno probabile una violazione tramite ransomware. I metodi più efficaci sono:
- Tenere sempre aggiornati i sistemi informatici aziendali e personali (se condivisi con la rete societaria).
- Installare tutte le ultime patch disponibili su dispositivi hardware e software.
- Segmentare la rete informatica per complicare i movimenti laterali.
- Applicare una password policy solida e condivisa.
Non abbassiamo la guardia!
© RIPRODUZIONE RISERVATA