Redazione RHC : 8 Giugno 2022 20:29
Avevamo anticipato il tema lo scorso anno con l’incidente informatico alla SIAE, ipotizzando un cambio di tattiche, tecniche e procedure (TTPs) delle cybergang, quando tutti pensavano che si trattasse di un ransomware. RHC in quell’occasione intervistò la cyber gang Everest, la quale disse che non si trattava di ransomware, ma di attività di esfiltrazione di dati solo a valle di una violazione informatica.
Questo si tratta di un indicatore di un cambiamento più profondo del modello economico?
Sebbene il ransomware rimanga la principale attività di criminalità informatica, con almeno 602 milioni di dollari di guadagni nel 2021, secondo la società Chainalysis, le cyber gang si stanno allontanando dalla crittografia dei dati per concentrarsi sul furto delle informazioni.
Che i criminali informatici richiedano un riscatto brandendo la minaccia della pubblicazione di dati rubati non è una novità. Le bande di ransomware lo fanno da circa tre anni. Questa è la famosa doppia estorsione: alla cifratura dei file interni segue un ricatto con la divulgazione dei dati. I criminali stanno ora continuando questa tendenza saltando la fase di crittografia dei dati.
È ad esempio Babuk, che ha annunciato questo cambio di rotta sul suo blog ad Aprile del 2021. O il caso di Industrial Spy, questa gang che sostiene di aver hackerato il SATT du Sud-Ouest. Sul suo mercato dei dati rubati, vende le informazioni prima alle vittime, poi al miglior offerente e infine, in assenza di un acquirente, sotto forma di file gratuiti.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Più recentemente, Karakurt, che prende il nome dai ragni vedova nera deò Kazakistan, si è specializzato anche nel solo furto di dati. Secondo una nota della CISA degli Stati Uniti D’America, questo gruppo criminale molto aggressivo, sospettato di essere una sussidiaria dei criminali di Conti ransomware, si è distinto per richieste di riscatto, da 25.000 a 13 milioni di dollari.
Per fare pressione sulle loro vittime, questi cybercriminali hanno condotto “vaste campagne di molestie”, prendendo di mira sia i dipendenti del target, ma anche i suoi partner o i suoi clienti.
Un fenomeno monitorato dal colosso della sicurezza informatica Sophos. Nel suo rapporto annuale sul ransomware del 2021, la società ha osservato che la quota di attacchi senza crittografia, limitata a un furto di dati seguito da un tentativo di estorsione, è più che raddoppiata, passando dal 3% al 7%.
Ma mentre l’azienda si interrogava su questa nuova tendenza, ha dovuto mettere in prospettiva questo aumento un anno dopo. Nel suo ultimo rapporto, nella primavera del 2022 , Sophos ha osservato che questa quota era scesa al 4%.
Tuttavia, per lo specialista delle negoziazioni Coveware, dobbiamo essere ben preparati a vedere lo sviluppo di questo tipo di furto senza crittografia in futuro. Secondo l’azienda, i criminali informatici potrebbero infatti essere tentati in alcuni casi di non crittografare i dati del loro bersaglio per evitare di attirare troppa attenzione.
La compagnia si riferisce qui all’attacco che ha preso di mira Colonial Pipeline, nella primavera del 2021, attribuito alla gang di Darkside.
Per i criminali informatici, questa storia alla fine si è rivelata un pessimo affare.
L’attacco, ha suscitato scalpore a livello nazionale e ha messo in allerta la Casa Bianca, alla fine ha portato al recupero da parte delle autorità statunitensi di parte del riscatto. E soprattutto, la testa dei criminali è stata messa a dura prova dopo questo attacco informatico.
Come comprenderete, troppo clamore non va bene per il ransomware.
Per i criminali informatici, l’estorsione senza crittografia deve quindi consentire loro di agire in modo più discreto. Richiede anche meno investimenti. I gruppi di ransomware devono sviluppare uno strumento di crittografia veloce e robusto. E assicurati, se vogliono che la loro reputazione rimanga corretta, che il loro decryptor sia aggiornato e soprattutto funzionante.
Spesso su RHC abbiamo parlato che pur avendo la chiave di decrittazione, i dati non sempre riescono ad essere decifrati correttamente.
Ma è difficile distinguere tra un vero e proprio cambio di strategia da parte dei criminali informatici, in risposta ad esempio a misure protettive come i backup, o il semplice opportunismo.
Così, pochi mesi dopo l’annuncio di Babuk, la stampa specializzata ha segnalato problemi di progettazione di questo ransomware rendendo impossibile il recupero dei dati crittografati, una preoccupazione tecnica che potrebbe aver pesato nella svolta assunta da questo gruppo. D’altra parte, Industrial Spy ha recentemente implementato un ransomware, segno che la banda non intende limitarsi al furto di dati.
Alla fine, è probabile che i criminali informatici si destreggeranno tra le opportunità di pura esfiltrzione di dati e di ransomware. “È un’attività che può essere complementare”, riferisce la Digital Factory Narimane Lavay, analista delle minacce informatiche di Sekoia.
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006