Red Hot Cyber
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Menu
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Redazione RHC : 3 Gennaio 2022 09:46
Secondo una nuova ricerca pubblicata da Kela, un fornitore di servizi di intelligence sulle minacce, le bande ransomware stanno divenendo sempre più simili a corporazioni, con ruoli diversificati e trattative in outsourcing con le vittime.
Supporta Red Hot Cyber attraverso
L’analista di Kela Victoria Kivilevich e altri membri del team, hanno trascorso oltre un anno a monitorare il dark web e hanno visto quattro aree emergenti di specializzazione:
Ne avevamo parlato approfonditamente nell’articolo “il ransomware cos’è” di qualche tempo fa. Ognuna di queste specializzazioni comporta varie attività dannose in cui varie abilità possono tornare utili e Kivilevich ha affermato che il suo team ha scoperto che quando si esamina specificamente la catena di approvvigionamento del ransomware, molti attori si stanno concentrando su due specifiche nicchie, ovvero l’escalation dei privilegi all’interno delle reti compromesse e la nicchia dell’estorsione, in cui gli attori sono coinvolti nella monetizzazione dei riscatti.
Molto spesso le cyber-gang si trovano di fronte ad organizzazioni che non vogliono pagare la richiesta di riscatto, pertanto, per non perdere tempo e denaro, si rende necessaria una ulteriore figura nella piramide della RaaS, un profilo che permetta di trovare un accordo con l’organizzazione violata e consenta di monetizzare al massimo i propri sforzi.
Le persone con competenze di “negoziazione” nei riscatti (che non devono essere necessariamente tecniche), sono particolarmente apprezzate, ha scoperto Kela.
“Abbiamo osservato più post sul dark web che descrivono la richiesta di questo nuovo ruolo nell’ecosistema del ransomware, i negoziatori. Si tratta di persone specializzate nel costringere la vittima a pagare un riscatto utilizzando informazioni e altre minacce interne”
ha affermato Kivilevich.
“Le vittime oggi hanno iniziato ad utilizzare i negoziatori, mentre alcuni anni fa questa professione non esisteva. Ora c’è una forte domanda di servizi di negoziazione. Gli specialisti della negoziazione di ransomware collaborano con le compagnie assicurative e non mancano di clienti. Anche gli attori di ransomware hanno dovuto migliorare il loro gioco, al fine di ottenere buoni margini”.
Inoltre viene riportato che anche la cyber-gang REvil, in fase di “assunzione” di un operatore di negoziazione aveva fatto delle specifiche richieste:
“Quando il rappresentante di REvil stava cercando un membro di supporto al team per tenere trattative, ha menzionato specificamente la necessità dell’inglese colloquiale come una skill imprescindibile. Questo non è un caso nuovo: gli attori sono sempre stati interessati a madrelingua inglesi da utilizzare per campagne di spear-phishing”.
Kivilevich ha trovato diversi thread sui forum sotterranei di lingua russa in cui i criminali informatici cercavano negoziatori e discutevano del loro lavoro.
E proprio come un’organizzazione legittima, le cyber-gang possono ingaggiare un appaltatore che poi si rivela una cattiva scelta. Kela ha trovato anche prove di disaccordi tra le bande di ransomware e i loro negoziatori.
In un caso documentato, un errore di comunicazione tra un affiliato di Conti e un negoziatore che era stato assunto, è esploso in una disputa aperta nel tentativo di estorsione dell’aprile 2021 del distretto scolastico pubblico della contea di Broward in Florida .
Il negoziatore ha affermato di avere informazioni privilegiate che avrebbero costretto la vittima a pagare – avevano chiesto 40 milioni di dollari, di per sé un riscatto enorme – ma poi ha accusato l’affiliato di Conti di ingerenza nelle trattative. Conti ha ribattuto accusando i negoziatori di comportarsi in modo non professionale.
RedazioneRedazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009
