Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il ransomware cambia pelle. Meno cifratura e più ricatti in seconda estorsione

Redazione RHC : 8 Giugno 2022 20:29

Avevamo anticipato il tema lo scorso anno con l’incidente informatico alla SIAE, ipotizzando un cambio di tattiche, tecniche e procedure (TTPs) delle cybergang, quando tutti pensavano che si trattasse di un ransomware. RHC in quell’occasione intervistò la cyber gang Everest, la quale disse che non si trattava di ransomware, ma di attività di esfiltrazione di dati solo a valle di una violazione informatica.

Questo si tratta di un indicatore di un cambiamento più profondo del modello economico? 

Sebbene il ransomware rimanga la principale attività di criminalità informatica, con almeno 602 milioni di dollari di guadagni nel 2021, secondo la società Chainalysis, le cyber gang si stanno allontanando dalla crittografia dei dati per concentrarsi sul furto delle informazioni.

Che i criminali informatici richiedano un riscatto brandendo la minaccia della pubblicazione di dati rubati non è una novità. Le bande di ransomware lo fanno da circa tre anni. Questa è la famosa doppia estorsione: alla cifratura dei file interni segue un ricatto con la divulgazione dei dati. I criminali stanno ora continuando questa tendenza saltando la fase di crittografia dei dati.

È ad esempio Babuk, che ha annunciato questo cambio di rotta sul suo blog ad Aprile del 2021. O il caso di Industrial Spy, questa gang che sostiene di aver hackerato il SATT du Sud-Ouest. Sul suo mercato dei dati rubati, vende le informazioni prima alle vittime, poi al miglior offerente e infine, in assenza di un acquirente, sotto forma di file gratuiti.
 

Riscatti da 13 milioni di dollari

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Più recentemente, Karakurt, che prende il nome dai ragni vedova nera deò Kazakistan, si è specializzato anche nel solo furto di dati. Secondo una nota della CISA degli Stati Uniti D’America, questo gruppo criminale molto aggressivo, sospettato di essere una sussidiaria dei criminali di Conti ransomware, si è distinto per richieste di riscatto, da 25.000 a 13 milioni di dollari. 

Per fare pressione sulle loro vittime, questi cybercriminali hanno condotto “vaste campagne di molestie”, prendendo di mira sia i dipendenti del target, ma anche i suoi partner o i suoi clienti.

Un fenomeno monitorato dal colosso della sicurezza informatica Sophos. Nel suo rapporto annuale sul ransomware del 2021, la società ha osservato che la quota di attacchi senza crittografia, limitata a un furto di dati seguito da un tentativo di estorsione, è più che raddoppiata, passando dal 3% al 7%

Ma mentre l’azienda si interrogava su questa nuova tendenza, ha dovuto mettere in prospettiva questo aumento un anno dopo. Nel suo ultimo rapporto, nella primavera del 2022 , Sophos ha osservato che questa quota era scesa al 4%.

Tuttavia, per lo specialista delle negoziazioni Coveware, dobbiamo essere ben preparati a vedere lo sviluppo di questo tipo di furto senza crittografia in futuro. Secondo l’azienda, i criminali informatici potrebbero infatti essere tentati in alcuni casi di non crittografare i dati del loro bersaglio per evitare di attirare troppa attenzione. 

La compagnia si riferisce qui all’attacco che ha preso di mira Colonial Pipeline, nella primavera del 2021, attribuito alla gang di Darkside.

Per i criminali informatici, questa storia alla fine si è rivelata un pessimo affare. 

L’attacco, ha suscitato scalpore a livello nazionale e ha messo in allerta la Casa Bianca, alla fine ha portato al recupero da parte delle autorità statunitensi di parte del riscatto. E soprattutto, la testa dei criminali è stata messa a dura prova dopo questo attacco informatico.

Come comprenderete, troppo clamore non va bene per il ransomware.

Occorrono attacchi più “discreti”

Per i criminali informatici, l’estorsione senza crittografia deve quindi consentire loro di agire in modo più discreto. Richiede anche meno investimenti. I gruppi di ransomware devono sviluppare uno strumento di crittografia veloce e robusto. E assicurati, se vogliono che la loro reputazione rimanga corretta, che il loro decryptor sia aggiornato e soprattutto funzionante.

Spesso su RHC abbiamo parlato che pur avendo la chiave di decrittazione, i dati non sempre riescono ad essere decifrati correttamente.

Ma è difficile distinguere tra un vero e proprio cambio di strategia da parte dei criminali informatici, in risposta ad esempio a misure protettive come i backup, o il semplice opportunismo. 

Così, pochi mesi dopo l’annuncio di Babuk, la stampa specializzata ha segnalato problemi di progettazione di questo ransomware rendendo impossibile il recupero dei dati crittografati, una preoccupazione tecnica che potrebbe aver pesato nella svolta assunta da questo gruppo. D’altra parte, Industrial Spy ha recentemente implementato un ransomware, segno che la banda non intende limitarsi al furto di dati.

Alla fine, è probabile che i criminali informatici si destreggeranno tra le opportunità di pura esfiltrzione di dati e di ransomware. “È un’attività che può essere complementare”, riferisce la Digital Factory Narimane Lavay, analista delle minacce informatiche di Sekoia.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.