fbpx
Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il ransomware è storage in cloud: ora puoi pagare anche dopo per rimuovere i tuoi dati

Massimiliano Brolli : 12 Luglio 2022 07:00

Autore: Massimiliano Brolli

Come sappiamo, le cybergang ransomware si sono sempre emulate, soprattutto per quanto riguarda quelle innovazioni dirompenti che hanno portato a creare ulteriori forme di ricatto finalizzato alla monetizzazione.

Tutto partì da Maze ransomware, quando introdusse alla fine 2019 la “seconda estorsione“.

Prova la Demo di Business Log! L'Adaptive SOC italiano

Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.

Scarica ora la Demo di Business Log per 30gg

Promo Corso CTI

Come sanno tutti i lettori di Red Hot Cyber, tale “innovazione” è stata successivamente presa in prestito da tutte le cybergang criminali che operavano nel modello ransomware as a service (RaaS) in quanto era una idea brillante che permetteva una ulteriore forma di ricatto e quindi di guadagno economico.


Scopri il ransomware con gli articoli di RHC
Il ransomware sta sempre più diventando un minaccia per aziende pubbliche e private, dove in Italia sta dilagando mietendo vittime giorno dopo giorno. Il ransomware è un tipo di malware che cifra l’infrastruttura IT di una organizzazione rendendola inutilizzabile chiedendo un riscatto per poterla sbloccare minacciando la pubblicazione dei dati. Scopriamo con precisione che cosa è il ransomware con gli articoli di Red Hot Cyber

In sintesi, se la vittima non voleva pagare il riscatto per la decifratura delle infratrutture IT prese in ostaggio dalla cybergang, sarebbe stata ricattata ulteriormente per evitare la pubblicazione dei suoi dati sensibili nel darkweb in precedenza prelevati dai cyber criminali.

Dal 2019 è passata una era geologica nel mondo del ransomware.

Nuove cybergang si sono formate mentre altre hanno chiuso i battenti oppure si sono riciclate all’interno di altre operazioni RaaS. Ma sicuramente l’inventiva nelle operazioni ransomware non è mai mancata e nuove forme di “estorsione” si sono materializzate nel tempo, come abbiamo visto qualche settimana fa con l’evoluzione di LockBit nella sua variante 3.0.

A parte l’introduzione del pagamento per l’estensione del countdown e per il pagamento per l’eliminazione dei dati, anche dopo molto tempo dalla loro fuoriuscita, le cybergang stanno organizzando le loro infrastrutture per rendere disponibili i dati in modo più industriale, consultabili tramite motori di ricerca.

Questo è quanto stiamo vedendo in questi ultimi giorni messo in campo dalle principali cybergang d’élite quali LockBit 3.0 e BlackCat/ALPHV che hanno rilasciato uno spazio all’interno dei loro data leak site (DLS) chiamato Leaked Data, dove è possibile scaricare in modo molto più strutturato che in precedenza i file pubblicati delle vittime, oltre a ricercare le informazioni tramite un motore di ricerca.

Leaked Data di LockBit 3.0

Oltre a LockBit 3.0, due giorni fa anche BlackCat/ALPHV ha rilasciato dei grossi aggiornamenti al loro DLS creando una nuova sezione denominata “collection”. In tale sezione è presente oltre alle pubblicazioni dei dati delle vecchie vittime, anche un motore di ricerca dove è possibile specificare il nome del file e la tipologia all’interno della form di ricerca.

In sintesi, sono state create una specie di dork che consentano un più facile accesso ai dati esfiltrati dalle infrastrutture IT delle aziende.

Leacked Data di BlackCat/ALPHV

Ma tutto questo perchè?

Perché maggiore è la visibilità di tali dati all’interno delle underground e del clearweb (diversi DLS hanno la possibilità di essere visualizzati con i browser normali), maggiore è la possibilità che una potenziale vittima possa pagare un riscatto per l’eliminazione dei dati anche in un tempo successivo all’attacco informatico, qualora tali dati contengano informazioni sensibili.

Dobbiamo quindi sempre tenere in considerazione che un attacco informatico costa.

Tra i costi di acquisto dell’accesso pagati ad un broker di accesso e il tempo che gli affiliati stanno all’interno dell’organizzazione per effettuare movimenti laterali ed esfiltrare dati (tale tempistiche possono variare tra 4 giorni ed un mese), qualora tali sforzi non vengano monetizzati questa sarà solo una perdita economica per tutta la piramide del RaaS.

Quindi ogni idea è buona per monetizzare.

D’altra parte non è quello che chiede LockBit quando dice di pagare per delle “Idee geniali”?

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.
Visita il sito web dell'autore

Articoli in evidenza

Per Grok 3, l’Intelligenza Artificiale di Elon Musk, Donald Trump Dovrebbe Morire

In un recente scambio con l’intelligenza artificiale Grok 3, è emerso un tema delicato e controverso: la pena di morte e chi, tra le persone viventi oggi in America, potrebbe meritarla per...

Anonymous Italia risponde agli attacchi di NoName057(16). Deface contro siti russi!

Negli ultimi giorni, il collettivo hacktivista italiano Anonymous Italia ha risposto agli attacchi informatici sferrati dal gruppo filorusso NoName057(16) colpendo una serie di obiettivi russi. Gli at...

Windows sotto scacco: scoperta una vulnerabilità che bypassa tutte le attivazioni!

Gruppo di ricerca MASSGRAVE ha presentato un Exploit chiamato TSforge che consente di attivare qualsiasi versione di Windows a partire da Windows 7, nonché tutte le edizioni di Microsof...

220$ per entrare nella Polizia di Stato Italiana: l’inquietante offerta di EDRVendor

Su BreachForum un utente dallo pseudonimo EDRVendor ha venduto, dopo poche ore dall’annuncio, l’accesso ad una cassetta postale della polizia di stato italiana. Oltre alla mail viene off...

Google Scopre Triplestrength: il gruppo Ransomware che colpisce il Cloud per estrarre Criptovalute

Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poc...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 REDHOTCYBER Srl
PIVA 17898011006