Attacchi ransomware. Le cyber-gang hanno bisogno dei “negoziatori”.

Secondo una nuova ricerca pubblicata da Kela, un fornitore di servizi di intelligence sulle minacce, le bande ransomware stanno divenendo sempre più simili a corporazioni, con ruoli diversificati e trattative in outsourcing con le vittime.

Le figure della RaaS (Ransomware as a service)

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’analista di Kela Victoria Kivilevich e altri membri del team, hanno trascorso oltre un anno a monitorare il dark web e hanno visto quattro aree emergenti di specializzazione:

• Codifica e creazione di malware;
• Infezione delle vittime;
• Rivendita degli accessi verso le grandi organizzazioni;
• Monetizzazione attraverso incasso, vendita o in altro modo i dati rubati.

Ne avevamo parlato approfonditamente nell’articolo “il ransomware cos’è” di qualche tempo fa. Ognuna di queste specializzazioni comporta varie attività dannose in cui varie abilità possono tornare utili e Kivilevich ha affermato che il suo team ha scoperto che quando si esamina specificamente la catena di approvvigionamento del ransomware, molti attori si stanno concentrando su due specifiche nicchie, ovvero l’escalation dei privilegi all’interno delle reti compromesse e la nicchia dell’estorsione, in cui gli attori sono coinvolti nella monetizzazione dei riscatti.

Gli Attacchi ransomware hanno bisogno dei “negoziatori”.

Molto spesso le cyber-gang si trovano di fronte ad organizzazioni che non vogliono pagare la richiesta di riscatto, pertanto, per non perdere tempo e denaro, si rende necessaria una ulteriore figura nella piramide della RaaS, un profilo che permetta di trovare un accordo con l’organizzazione violata e consenta di monetizzare al massimo i propri sforzi.

Le persone con competenze di “negoziazione” nei riscatti (che non devono essere necessariamente tecniche), sono particolarmente apprezzate, ha scoperto Kela.

“Abbiamo osservato più post sul dark web che descrivono la richiesta di questo nuovo ruolo nell’ecosistema del ransomware, i negoziatori. Si tratta di persone specializzate nel costringere la vittima a pagare un riscatto utilizzando informazioni e altre minacce interne”

ha affermato Kivilevich.

“Le vittime oggi hanno iniziato ad utilizzare i negoziatori, mentre alcuni anni fa questa professione non esisteva. Ora c’è una forte domanda di servizi di negoziazione. Gli specialisti della negoziazione di ransomware collaborano con le compagnie assicurative e non mancano di clienti. Anche gli attori di ransomware hanno dovuto migliorare il loro gioco, al fine di ottenere buoni margini”.

Inoltre viene riportato che anche la cyber-gang REvil, in fase di “assunzione” di un operatore di negoziazione aveva fatto delle specifiche richieste:

“Quando il rappresentante di REvil stava cercando un membro di supporto al team per tenere trattative, ha menzionato specificamente la necessità dell’inglese colloquiale come una skill imprescindibile. Questo non è un caso nuovo: gli attori sono sempre stati interessati a madrelingua inglesi da utilizzare per campagne di spear-phishing”.

Kivilevich ha trovato diversi thread sui forum sotterranei di lingua russa in cui i criminali informatici cercavano negoziatori e discutevano del loro lavoro.

E proprio come un’organizzazione legittima, le cyber-gang possono ingaggiare un appaltatore che poi si rivela una cattiva scelta. Kela ha trovato anche prove di disaccordi tra le bande di ransomware e i loro negoziatori.

In un caso documentato, un errore di comunicazione tra un affiliato di Conti e un negoziatore che era stato assunto, è esploso in una disputa aperta nel tentativo di estorsione dell’aprile 2021 del distretto scolastico pubblico della contea di Broward in Florida .

Il negoziatore ha affermato di avere informazioni privilegiate che avrebbero costretto la vittima a pagare – avevano chiesto 40 milioni di dollari, di per sé un riscatto enorme – ma poi ha accusato l’affiliato di Conti di ingerenza nelle trattative. Conti ha ribattuto accusando i negoziatori di comportarsi in modo non professionale.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.