Il ransomware cambia pelle. Meno cifratura e più ricatti in seconda estorsione
Avevamo anticipato il tema lo scorso anno con l’incidente informatico alla SIAE, ipotizzando un cambio di tattiche, tecniche e procedure (TTPs) delle cybergang, quando tutti pensavano che si trattasse di un ransomware. RHC in quell’occasione intervistò la cyber gang Everest, la quale disse che non si trattava di ransomware, ma di attività di esfiltrazione di dati solo a valle di una violazione informatica.
Questo si tratta di un indicatore di un cambiamento più profondo del modello economico?
Sebbene il ransomware rimanga la principale attività di criminalità informatica, con almeno 602 milioni di dollari di guadagni nel 2021, secondo la società Chainalysis, le cyber gang si stanno allontanando dalla crittografia dei dati per concentrarsi sul furto delle informazioni.
Che i criminali informatici richiedano un riscatto brandendo la minaccia della pubblicazione di dati rubati non è una novità. Le bande di ransomware lo fanno da circa tre anni. Questa è la famosa doppia estorsione: alla cifratura dei file interni segue un ricatto con la divulgazione dei dati. I criminali stanno ora continuando questa tendenza saltando la fase di crittografia dei dati.
È ad esempio Babuk, che ha annunciato questo cambio di rotta sul suo blog ad Aprile del 2021. O il caso di Industrial Spy, questa gang che sostiene di aver hackerato il SATT du Sud-Ouest. Sul suo mercato dei dati rubati, vende le informazioni prima alle vittime, poi al miglior offerente e infine, in assenza di un acquirente, sotto forma di file gratuiti.
Riscatti da 13 milioni di dollari
Più recentemente, Karakurt, che prende il nome dai ragni vedova nera deò Kazakistan, si è specializzato anche nel solo furto di dati. Secondo una nota della CISA degli Stati Uniti D’America, questo gruppo criminale molto aggressivo, sospettato di essere una sussidiaria dei criminali di Conti ransomware, si è distinto per richieste di riscatto, da 25.000 a 13 milioni di dollari.
Per fare pressione sulle loro vittime, questi cybercriminali hanno condotto “vaste campagne di molestie”, prendendo di mira sia i dipendenti del target, ma anche i suoi partner o i suoi clienti.
Un fenomeno monitorato dal colosso della sicurezza informatica Sophos. Nel suo rapporto annuale sul ransomware del 2021, la società ha osservato che la quota di attacchi senza crittografia, limitata a un furto di dati seguito da un tentativo di estorsione, è più che raddoppiata, passando dal 3% al 7%.
Ma mentre l’azienda si interrogava su questa nuova tendenza, ha dovuto mettere in prospettiva questo aumento un anno dopo. Nel suo ultimo rapporto, nella primavera del 2022 , Sophos ha osservato che questa quota era scesa al 4%.
Tuttavia, per lo specialista delle negoziazioni Coveware, dobbiamo essere ben preparati a vedere lo sviluppo di questo tipo di furto senza crittografia in futuro. Secondo l’azienda, i criminali informatici potrebbero infatti essere tentati in alcuni casi di non crittografare i dati del loro bersaglio per evitare di attirare troppa attenzione.
La compagnia si riferisce qui all’attacco che ha preso di mira Colonial Pipeline, nella primavera del 2021, attribuito alla gang di Darkside.
Per i criminali informatici, questa storia alla fine si è rivelata un pessimo affare.
L’attacco, ha suscitato scalpore a livello nazionale e ha messo in allerta la Casa Bianca, alla fine ha portato al recupero da parte delle autorità statunitensi di parte del riscatto. E soprattutto, la testa dei criminali è stata messa a dura prova dopo questo attacco informatico.
Come comprenderete, troppo clamore non va bene per il ransomware.
Occorrono attacchi più “discreti”
Per i criminali informatici, l’estorsione senza crittografia deve quindi consentire loro di agire in modo più discreto. Richiede anche meno investimenti. I gruppi di ransomware devono sviluppare uno strumento di crittografia veloce e robusto. E assicurati, se vogliono che la loro reputazione rimanga corretta, che il loro decryptor sia aggiornato e soprattutto funzionante.
Spesso su RHC abbiamo parlato che pur avendo la chiave di decrittazione, i dati non sempre riescono ad essere decifrati correttamente.
Ma è difficile distinguere tra un vero e proprio cambio di strategia da parte dei criminali informatici, in risposta ad esempio a misure protettive come i backup, o il semplice opportunismo.
Così, pochi mesi dopo l’annuncio di Babuk, la stampa specializzata ha segnalato problemi di progettazione di questo ransomware rendendo impossibile il recupero dei dati crittografati, una preoccupazione tecnica che potrebbe aver pesato nella svolta assunta da questo gruppo. D’altra parte, Industrial Spy ha recentemente implementato un ransomware, segno che la banda non intende limitarsi al furto di dati.
Alla fine, è probabile che i criminali informatici si destreggeranno tra le opportunità di pura esfiltrzione di dati e di ransomware. “È un’attività che può essere complementare”, riferisce la Digital Factory Narimane Lavay, analista delle minacce informatiche di Sekoia.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Membro e Riferimento del gruppo di Red Hot Cyber
Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"
Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione
