Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Il ransomware cambia pelle. Meno cifratura e più ricatti in seconda estorsione

Redazione RHC : 8 Giugno 2022 20:29

Avevamo anticipato il tema lo scorso anno con l’incidente informatico alla SIAE, ipotizzando un cambio di tattiche, tecniche e procedure (TTPs) delle cybergang, quando tutti pensavano che si trattasse di un ransomware. RHC in quell’occasione intervistò la cyber gang Everest, la quale disse che non si trattava di ransomware, ma di attività di esfiltrazione di dati solo a valle di una violazione informatica.

Questo si tratta di un indicatore di un cambiamento più profondo del modello economico? 

Sebbene il ransomware rimanga la principale attività di criminalità informatica, con almeno 602 milioni di dollari di guadagni nel 2021, secondo la società Chainalysis, le cyber gang si stanno allontanando dalla crittografia dei dati per concentrarsi sul furto delle informazioni.

Che i criminali informatici richiedano un riscatto brandendo la minaccia della pubblicazione di dati rubati non è una novità. Le bande di ransomware lo fanno da circa tre anni. Questa è la famosa doppia estorsione: alla cifratura dei file interni segue un ricatto con la divulgazione dei dati. I criminali stanno ora continuando questa tendenza saltando la fase di crittografia dei dati.

È ad esempio Babuk, che ha annunciato questo cambio di rotta sul suo blog ad Aprile del 2021. O il caso di Industrial Spy, questa gang che sostiene di aver hackerato il SATT du Sud-Ouest. Sul suo mercato dei dati rubati, vende le informazioni prima alle vittime, poi al miglior offerente e infine, in assenza di un acquirente, sotto forma di file gratuiti.
 

Riscatti da 13 milioni di dollari


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Più recentemente, Karakurt, che prende il nome dai ragni vedova nera deò Kazakistan, si è specializzato anche nel solo furto di dati. Secondo una nota della CISA degli Stati Uniti D’America, questo gruppo criminale molto aggressivo, sospettato di essere una sussidiaria dei criminali di Conti ransomware, si è distinto per richieste di riscatto, da 25.000 a 13 milioni di dollari. 

    Per fare pressione sulle loro vittime, questi cybercriminali hanno condotto “vaste campagne di molestie”, prendendo di mira sia i dipendenti del target, ma anche i suoi partner o i suoi clienti.

    Un fenomeno monitorato dal colosso della sicurezza informatica Sophos. Nel suo rapporto annuale sul ransomware del 2021, la società ha osservato che la quota di attacchi senza crittografia, limitata a un furto di dati seguito da un tentativo di estorsione, è più che raddoppiata, passando dal 3% al 7%

    Ma mentre l’azienda si interrogava su questa nuova tendenza, ha dovuto mettere in prospettiva questo aumento un anno dopo. Nel suo ultimo rapporto, nella primavera del 2022 , Sophos ha osservato che questa quota era scesa al 4%.

    Tuttavia, per lo specialista delle negoziazioni Coveware, dobbiamo essere ben preparati a vedere lo sviluppo di questo tipo di furto senza crittografia in futuro. Secondo l’azienda, i criminali informatici potrebbero infatti essere tentati in alcuni casi di non crittografare i dati del loro bersaglio per evitare di attirare troppa attenzione. 

    La compagnia si riferisce qui all’attacco che ha preso di mira Colonial Pipeline, nella primavera del 2021, attribuito alla gang di Darkside.

    Per i criminali informatici, questa storia alla fine si è rivelata un pessimo affare. 

    L’attacco, ha suscitato scalpore a livello nazionale e ha messo in allerta la Casa Bianca, alla fine ha portato al recupero da parte delle autorità statunitensi di parte del riscatto. E soprattutto, la testa dei criminali è stata messa a dura prova dopo questo attacco informatico.

    Come comprenderete, troppo clamore non va bene per il ransomware.

    Occorrono attacchi più “discreti”

    Per i criminali informatici, l’estorsione senza crittografia deve quindi consentire loro di agire in modo più discreto. Richiede anche meno investimenti. I gruppi di ransomware devono sviluppare uno strumento di crittografia veloce e robusto. E assicurati, se vogliono che la loro reputazione rimanga corretta, che il loro decryptor sia aggiornato e soprattutto funzionante.

    Spesso su RHC abbiamo parlato che pur avendo la chiave di decrittazione, i dati non sempre riescono ad essere decifrati correttamente.

    Ma è difficile distinguere tra un vero e proprio cambio di strategia da parte dei criminali informatici, in risposta ad esempio a misure protettive come i backup, o il semplice opportunismo. 

    Così, pochi mesi dopo l’annuncio di Babuk, la stampa specializzata ha segnalato problemi di progettazione di questo ransomware rendendo impossibile il recupero dei dati crittografati, una preoccupazione tecnica che potrebbe aver pesato nella svolta assunta da questo gruppo. D’altra parte, Industrial Spy ha recentemente implementato un ransomware, segno che la banda non intende limitarsi al furto di dati.

    Alla fine, è probabile che i criminali informatici si destreggeranno tra le opportunità di pura esfiltrzione di dati e di ransomware. “È un’attività che può essere complementare”, riferisce la Digital Factory Narimane Lavay, analista delle minacce informatiche di Sekoia.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Il caso “Mia Moglie” e le sfide della responsabilità digitale tra privacy, revenge porn e ruolo delle piattaforme
    Di Paolo Galdieri - 23/08/2025

    La recente vicenda del gruppo Facebook “Mia Moglie”, attivo dal 2019 e popolato da oltre 32.000 iscritti, mette in luce una dinamica che intreccia violazione della privacy, pornografia n...

    Performance review 2025 per Google: meno bug, più vibe coding
    Di Redazione RHC - 23/08/2025

    Per i dipendenti di Google, “stare al passo con i tempi” significa non solo sviluppare l’intelligenza artificiale, ma anche essere in grado di utilizzarla ogni giorno. Negli ultim...

    20 milioni di dollari per exploit zero-day dal broker Advanced Security Solutions
    Di Redazione RHC - 22/08/2025

    Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque...

    Un bug critico di Downgrade in Chat-GPT porta al Jailbreak del modello
    Di Redazione RHC - 22/08/2025

    Un difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...

    972 milioni di utenti VPN di Google Play sono a rischio!
    Di Redazione RHC - 22/08/2025

    Gli analisti di Citizen Lab hanno segnalato che oltre 20 app VPN presenti sul Google Play Store presentano gravi problemi di sicurezza che minacciano la privacy degli utenti e consentono la decrittazi...